Las agencias de ciberseguridad de Australia, Canadá, Nueva Zelanda y Estados Unidos han publicado un aviso conjunto sobre los riesgos asociados con una técnica llamada Fast Flux que ha sido adoptada por los actores de amenaza para oscurecer un canal de comando y control (C2).
«‘Fast Flux’ es una técnica utilizada para ofuscar las ubicaciones de los servidores maliciosos a través de registros del sistema de nombres de dominio (DNS) que cambian rápidamente (DNS) asociados con un solo nombre de dominio», dijeron las agencias. «Esta amenaza explota una brecha que se encuentra comúnmente en las defensas de la red, lo que dificulta el seguimiento y el bloqueo de actividades de flujo rápido malicioso».
El aviso es cortesía de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), Agencia de Seguridad Nacional (NSA), la Oficina Federal de Investigación (FBI), el Centro de Seguridad Cibernética Australiana de las señales de Australia, el Centro Canadiense de Seguridad Cibernética y el Centro Nacional de Seguridad Cibernética de Nueva Zelanda.
El flujo rápido ha sido adoptado por muchos grupos de piratería en los últimos años, incluidos los actores de amenazas vinculados a Gamaredon, Cryptochameleon y Raspberry Robin en un esfuerzo por hacer que su infraestructura maliciosa evite la detección y los derribos de la aplicación de la ley.
El enfoque esencialmente implica el uso de una variedad de direcciones IP y girándolas en rápida sucesión, al tiempo que apunta a un dominio malicioso. Se detectó por primera vez en la naturaleza en 2007 como parte del proyecto Honeynet.
Puede ser un solo flujo, donde un solo nombre de dominio está vinculado a numerosas direcciones IP, o doble flujo, donde, además de cambiar las direcciones IP, los servidores de nombres DNS responsables de resolver el dominio también cambian con frecuencia, ofreciendo una capa adicional de redundancia y anonimato para los dominios rebeldes.
«Una red de flujo rápido es ‘rápida’ porque, al usar DNS, gira rápidamente a través de muchos bots, utilizando cada uno por poco tiempo para dificultar los esfuerzos de denylisting y derribos basados en IP», dijo Palo Alto Networks Unit 42 en un informe publicado en 2021.
Al describir el flujo rápido como una amenaza de seguridad nacional, las agencias dijeron que los actores de amenaza están utilizando la técnica para ofuscar las ubicaciones de los servidores maliciosos, así como establecer una infraestructura C2 resistente que pueda resistir los esfuerzos de eliminación.
Eso no es todo. Fast Flux juega un papel vital más allá de las comunicaciones C2 para ayudar a los adversarios a organizar sitios web de phishing, así como en el escenario y distribuir malware.
Para asegurar el flujo rápido, las organizaciones se recomiendan bloquear direcciones IP, dominios maliciosos del sumidero, filtrar el tráfico hacia y desde dominios o direcciones IP con mala reputación, implementar un monitoreo mejorado y hacer cumplir la conciencia y la capacitación de phishing.
«El flujo rápido representa una amenaza persistente para la seguridad de la red, aprovechando la infraestructura que cambia rápidamente para ofuscar la actividad maliciosa», dijeron las agencias. «Al implementar estrategias de detección y mitigación sólidas, las organizaciones pueden reducir significativamente su riesgo de compromiso por amenazas rápidas con flujo».
