Badan cybersecurity dari Australia, Kanada, Selandia Baru, dan Amerika Serikat telah menerbitkan penasihat bersama tentang risiko yang terkait dengan teknik yang disebut Fast Flux yang telah diadopsi oleh aktor ancaman untuk mengaburkan saluran perintah-dan-kontrol (C2).
“'Fast Flux' adalah teknik yang digunakan untuk mengaburkan lokasi server berbahaya melalui catatan Sistem Nama Domain (DNS) yang berubah dengan cepat yang terkait dengan nama domain tunggal,” kata agensi tersebut. “Ancaman ini mengeksploitasi celah yang biasa ditemukan dalam pertahanan jaringan, membuat pelacakan dan pemblokiran kegiatan fluks cepat berbahaya menjadi sulit.”
Penasihat datang milik Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA), Badan Keamanan Nasional (NSA), Biro Investigasi Federal (FBI), Pusat Keamanan Cyber Australia Direktorat Australia, Pusat Keamanan Cyber Kanada, dan Pusat Keamanan Cyber Nasional Selandia Baru Selandia Baru.
Fluks cepat telah dianut oleh banyak kelompok peretasan dalam beberapa tahun terakhir, termasuk aktor ancaman yang terkait dengan GameDon, cryptochameleon, dan Raspberry Robin dalam upaya membuat infrastruktur berbahaya mereka menghindari deteksi dan penghapusan penegakan hukum.
Pendekatan ini pada dasarnya mensyaratkan menggunakan berbagai alamat IP dan memutarnya secara berurutan, sambil menunjuk ke satu domain jahat. Ini pertama kali terdeteksi di alam liar pada tahun 2007 sebagai bagian dari proyek Honeynet.
Ini bisa berupa fluks tunggal, di mana nama domain tunggal ditautkan ke banyak alamat IP, atau fluks ganda, di mana selain mengubah alamat IP, server nama DNS yang bertanggung jawab untuk menyelesaikan domain juga sering diubah, menawarkan lapisan tambahan redundansi dan anonimitas untuk domain Rogue.
“Jaringan fluks cepat 'cepat' karena, menggunakan DNS, itu dengan cepat berputar melalui banyak bot, menggunakan masing-masing hanya untuk waktu yang singkat untuk membuat upaya denylisting dan pencopotan berbasis IP menjadi sulit,” kata Palo Alto Networks Unit 42 dalam sebuah laporan yang diterbitkan pada tahun 2021.
Menggambarkan fluks cepat sebagai ancaman keamanan nasional, lembaga mengatakan aktor ancaman menggunakan teknik untuk mengaburkan lokasi server jahat, serta membentuk infrastruktur C2 yang tangguh yang dapat menahan upaya pencopotan.
Bukan itu saja. Fast Flux memainkan peran penting di luar komunikasi C2 untuk membantu juga membantu musuh menjadi tuan rumah situs web phishing, serta panggung dan mendistribusikan malware.
Untuk mengamankan terhadap fluks cepat, organisasi disarankan untuk memblokir alamat IP, domain berbahaya lubang, menyaring lalu lintas ke dan dari domain atau alamat IP dengan reputasi yang buruk, menerapkan pemantauan yang ditingkatkan, dan menegakkan kesadaran dan pelatihan phishing.
“Fluks cepat merupakan ancaman yang terus -menerus terhadap keamanan jaringan, memanfaatkan infrastruktur yang berubah dengan cepat untuk mengaburkan aktivitas jahat,” kata agensi. “Dengan menerapkan strategi deteksi dan mitigasi yang kuat, organisasi dapat secara signifikan mengurangi risiko kompromi dengan ancaman yang diaktifkan dengan fluks cepat.”
