Perşembe günü FBI, Siber Güvenlik ve Altyapı Güvenlik Ajansı ve bir grup uluslararası ortak siber tehdit gruplarının “hızlı akı” adlı bir teknik kullandığı konusunda uyardı Ulusal güvenlik için önemli bir tehdit oluşturan kötü amaçlı sunucuların yerlerini gizlemek.
Yetkililer, hem suçlu hem de devlet bağlantılı tehdit gruplarının, hızlı değişen alan adı sistem kayıtlarını kullanarak bu sunucuların yerlerini gizlemek için hızlı akış kullandığı konusunda uyardı. Ayrıca, özellikle botnetlerle bağlantılı olarak kötü amaçlı işlemlerini gizlemek için son derece esnek komut ve kontrol (C2) altyapısı oluşturabilirler.
Yetkililer, hızlı akı tekniklerinin sadece C2 iletişimleri için değil, aynı zamanda sosyal mühendislik web sitelerini engellenmesini veya kaldırılmasını önlemek için kimlik avı kampanyalarında da kullanıldığını söyledi.
Yetkililer, hızlı akı kullanan aktif bir kampanya olup olmadığını veya şu anda tekniği kullanan herhangi bir tehdit aktörünü doğrudan adlandırıp adlandırmadığını belirtmediler. Bununla birlikte, geçmiş aktiviteye atıfta bulundular, Hive ve Nefilim ile bağlantılı önceki fidye yazılımı saldırılarında hızlı akının kullanıldığını belirtti. Buna ek olarak, danışmanlığa göre, Gamaredon olarak bilinen Rusya destekli bir tehdit aktörü, tehdit faaliyetlerini maskelemek için hızlı akış kullandı.
Palo Alto Networks Birimi 42’de Tehdit İstihbarat Kıdemli Direktörü Andy Piazza, Fast Flux’un rakiplerin, devam eden tehdit faaliyetlerini tespit etmeyi çok maliyetli ve zorlaştırarak güvenlik operasyonları ekiplerine maliyet getirmesinin bir yolu olduğunu söyledi.
Piazza, hızlı akının olduğunu söyledi Trident ursa tarafından kullanılır Rusya’nın Ukrayna’yı işgalinin ilk günlerinde.
Fast Flux, Piazza’ya göre bir düşmanın altyapılarını her dakika yüzlerce ve yüzlerce alanı değiştirerek hızlı bir şekilde değiştirmesine izin verir.
“SOC’nin araştırmasını, engellemesini veya önünde kalmasını çok zorlaştırıyor” dedi. “Çok daha fazla zaman alıyor, çok daha fazla para alıyor.”
Danışmanlığa göre, tekniğin tek akı ve çift akı adı verilen iki varyantı vardır. Tek bir akı kullanılarak, tek bir etki alanı adı birden fazla IP adresi ile ilişkilidir. Çift akı sadece alan adını değiştirmekle kalmaz, aynı zamanda DNS adı sunucusunu da değiştirir.
Yetkililer, faaliyeti tespit etmek ve azaltmak için birkaç adım önerdiler:
- DNS sorgu günlükleri için anomali algılama sistemleri uygulayın.
- Bilinen hızlı akı alanlarını ve ilgili IP adreslerini tanımlamak için tehdit istihbarat beslemelerini kullanın.
- DNS trafiğinin günlüğe kaydedilmesini ve izlenmesini artırın.
- Kötü niyetli alanları detaylandırmayı düşünün.