‫ NSA و متحدان جهانی جریان سریع را یک تهدید امنیت ملی اعلام کردند

NSA و آژانس‌های امنیت سایبری جهانی هشدار می‌دهند که تاکتیک جریان سریع DNS یک تهدید امنیت ملی در حال رشد است که در فیشینگ، بات‌نت و باج‌افزار استفاده می‌شود.
 

تلاش‌های مشترک آژانس‌های امنیت سایبری بین‌المللی، از جمله آژانس امنیت ملی (NSA)، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، دفتر تحقیقات فدرال (FBI)، مرکز امنیت سایبری استرالیا اداره سیگنال‌های استرالیا (ASD’s ACSC)، مرکز کانادایی برای امنیت سایبری (CCCS)، و مرکز امنیت سایبری کانادا (CCCS) و نیوزیلند دارای امنیت سایبری بالا (CCCS) است. به عنوان Fast Flux.

بر اساس یک مشاوره مشترک، هم مجرمان سایبری و هم بازیگران تحت حمایت دولت از این تکنیک جدید استفاده می‌کنند که به آنها امکان می‌دهد مکان‌های سرور مخرب را پنهان کنند و زیرساخت‌های فرماندهی و کنترل (C2) را حفظ کنند و به عنوان یک تهدید امنیت ملی اعلام شده است.

درک شار سریع
مکانیسم اصلی Fast Flux در دستکاری دینامیک رکوردهای سیستم نام دامنه (DNS) نهفته است. مهاجمان با تغییر سریع آدرس‌های IP مرتبط با یک دامنه، مکان واقعی سرورهای مخرب خود را به طور مؤثر مخفی می‌کنند. این چرخش سریع روش‌های سنتی مسدودسازی مبتنی بر IP را بی‌اثر می‌کند، زیرا آدرس IP هدف تقریباً بلافاصله منسوخ می‌شود.

تحقیقات نشان می‌دهد که مجرمان سایبری از دو روش جریان سریع استفاده می‌کنند: یک شار و دو شار. Single Flux شامل پیوند یک نام دامنه واحد به آدرس‌های IP متعدد و اغلب چرخش شده است، و تضمین می‌کند که حتی اگر یک IP مسدود شود، دامنه در دسترس باقی می‌ماند.
برعکس، Double flux با تغییر مکرر سرورهای نام DNS که مسئول حل دامنه هستند، این ابهام را بیشتر می‌کند و لایه دیگری از ناشناس بودن را اضافه می‌کند. CISA خاطرنشان می‌کند: «این تکنیک‌ها از تعداد زیادی میزبان در معرض خطر استفاده می‌کنند،» اغلب بات‌نت‌هایی را تشکیل می‌دهند که به عنوان پراکسی برای پنهان کردن منشاء ترافیک مخرب عمل می‌کنند.

برنامه های مخرب و نقش میزبانی ضد گلوله
CISA تاکید می کند که Fast Flux تنها برای حفظ ارتباطات C2 استفاده نمی شود. این نقش مهمی در کمپین های فیشینگ ایفا می کند و حذف وب سایت های مهندسی اجتماعی را دشوار می کند.

علاوه بر این، ارائه دهندگان "میزبان ضد گلوله" (BPH)، که درخواست های اجرای قانون را نادیده می گیرند، به طور فزاینده ای آن را به عنوان یک سرویس به مشتریان خود ارائه می دهند. این اجازه می دهد تا عملکرد یکپارچه فعالیت های مخرب مانند مدیریت بات نت، فروشگاه های آنلاین جعلی و سرقت اطلاعات اعتباری را انجام دهد، در حالی که لایه ای از محافظت در برابر شناسایی و حذف را فراهم می کند، و در حملات باج افزار Hive و Nefilim استفاده شده است. حتی یکی از ارائه دهندگان BPH توانایی این سرویس را برای دور زدن لیست های مسدود Spamhaus تبلیغ کرد و جذابیت آن را برای مجرمان سایبری برجسته کرد.

تشخیص و کاهش
آژانس‌ها به شدت یک رویکرد چند لایه را برای شناسایی و کاهش حملات "شار سریع" توصیه می کنند. این شامل استفاده از فیدهای اطلاعاتی تهدید، اجرای تشخیص ناهنجاری برای گزارش‌های جستجوی DNS، تجزیه و تحلیل مقادیر رکورد DNS (TTL)، نظارت بر موقعیت جغرافیایی ناسازگار، و استفاده از داده‌های جریان برای شناسایی الگوهای ارتباطی غیرعادی است.

برای سازمان‌ها، آژانس‌ها مسدود کردن DNS و IP، فیلتر کردن شهرت، نظارت و گزارش پیشرفته و آموزش آگاهی از فیشینگ را به عنوان استراتژی‌های کاهش قوی توصیه می‌کنند. این مشاوره نتیجه گیری می کند که برای سازمان ها بسیار مهم است که با ارائه دهندگان خدمات اینترنتی و ارائه دهندگان امنیت سایبری خود، به ویژه ارائه دهندگان DNS حفاظتی (PDNS) برای اجرای این اقدامات هماهنگ شوند.

جان دی لولو، مدیرعامل Deepwatch، یک پلتفرم AI+Human Cyber ​​Resilience سایبری مستقر در سانفرانسیسکو در کالیفرنیا، در مورد آخرین پیشرفت اظهار داشت: این توصیه اخیر به بسیاری از سازمان ها مانند یک اسپرسو دوبل ضربه می زند. هر شرکتی که به شهرت IP به عنوان وسیله ای معتبر برای ایمن سازی زیرساخت یا داده های اختصاصی خود متکی باشد، هدف نرمی برای این نوع سوء استفاده است.
او هشدار داد: "خوشبختانه، تکنیک‌های تشخیص همبستگی، به ویژه آنهایی که از روش‌های یادگیری ماشینی "کم و کند" استفاده می‌کنند، می‌توانند به راحتی این نفوذها را شکست دهند. با این حال، زیرساخت‌های بسیاری از شرکت‌ها به سادگی هنوز وجود ندارد. این یک زنگ هشدار مهم است.