Avustralya, Kanada, Yeni Zelanda ve Amerika Birleşik Devletleri’nden siber güvenlik ajansları, bir komut ve kontrol (C2) kanalını gizlemek için tehdit aktörleri tarafından kabul edilen hızlı akış adı verilen bir teknikle ilişkili riskler hakkında ortak bir danışma yayınladı.
Ajanslar, “” Hızlı Flux ‘, tek bir etki alanı adıyla ilişkili hızla değişen alan adı sistemi (DNS) kayıtları aracılığıyla kötü amaçlı sunucuların konumlarını gizlemek için kullanılan bir tekniktir.” Dedi. “Bu tehdit, ağ savunmalarında yaygın olarak bulunan bir boşluğu kullanıyor ve kötü niyetli hızlı akı faaliyetlerinin izlenmesini ve engellenmesini zorlaştırıyor.”
Danışma, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI), Avustralya Sinyalleri Müdürlüğü Avustralya Siber Güvenlik Merkezi, Kanada Siber Güvenlik Merkezi ve Yeni Zelanda Ulusal Siber Güvenlik Merkezi’nin izniyle geliyor.
Hızlı akı, son yıllarda, kötü niyetli altyapının kaçınma ve kolluk kuvvetlerinin yayından kaldırılmasını sağlamak amacıyla Gamaredon, Cryptochameleon ve Raspberry Robin ile bağlantılı tehdit aktörleri de dahil olmak üzere son yıllarda bir hack grubu tarafından benimsenmiştir.
Yaklaşım esasen çeşitli IP adreslerinin kullanılmasını ve bir kötü amaçlı alana işaret ederken, bunları hızlı bir şekilde döndürmeyi gerektirir. İlk olarak Vahşi’de 2007 yılında Honeynet Projesi’nin bir parçası olarak tespit edildi.
Tek bir etki alanı adının çok sayıda IP adresiyle bağlantılı olduğu tek bir akı olabilir veya IP adreslerini değiştirmenin yanı sıra, etki alanının çözümünden sorumlu DNS adı sunucuları da sık sık değiştirilir, bu da haydut alanlar için ekstra bir fazlalık ve anonim katman sunar.
Palo Alto Networks Birimi 42, 2021’de yayınlanan bir raporda, “Hızlı bir akı ağı ‘hızlıdır, çünkü DNS kullanarak, IP tabanlı denilisting ve yayından kaldırma çabalarını zorlaştırmak için her birini sadece kısa bir süre kullanarak birçok bottan hızla döner.” Dedi.
Hızlı akıyı ulusal bir güvenlik tehdidi olarak tanımlayan ajanslar, tehdit aktörlerinin tekniği kötü amaçlı sunucuların yerlerini gizlemek ve yayından kaldırma çabalarına dayanabilecek esnek C2 altyapısı oluşturmak için kullandıklarını söyledi.
Hepsi bu değil. Fast Flux, rakiplerin ev sahibi kimlik avı web sitelerine yardımcı olmasının yanı sıra, kötü amaçlı yazılımları sahne ve dağıtmaya yardımcı olmak için C2 iletişiminin ötesinde hayati bir rol oynar.
Hızlı akışa karşı güvence altına almak için kuruluşların IP adreslerini engellemeleri, düden kötü niyetli alanları düdüğü, trafiği kötü itibarlarla veya IP adreslerine ve IP adreslerinden trafiği filtrelemek, gelişmiş izleme uygulamak ve kimlik avı bilinci ve eğitimini uygulamak için önerilir.
Ajanslar, “Hızlı akı, ağ güvenliği için kalıcı bir tehdidi temsil ediyor ve kötü niyetli faaliyetleri gizlemek için hızla değişen altyapıdan yararlanıyor.” Dedi. Diyerek şöyle devam etti: “Kuruluşlar, sağlam tespit ve azaltma stratejileri uygulayarak, hızlı akı özellikli tehditlerle uzlaşma risklerini önemli ölçüde azaltabilir.”