_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png)
Организациям, интернет-провайдерам (ISP) и поставщикам
услуг кибербезопасности было направлено предупреждение о сохраняющейся угрозе
вредоносной деятельности с использованием Fast Flux со стороны американских и
международных агентств по кибербезопасности.
Согласно совместному консультативному заключению по кибербезопасности (CSA) , опубликованному 3 апреля, во многих сетях имеются пробелы в защите от обнаружения и блокировки технологий Fast Flux, что представляет собой серьезную угрозу национальной безопасности.
Fast Flux используется злоумышленниками для сокрытия
местоположений вредоносных серверов путем быстрого изменения записей системы
доменных имен (DNS), например IP-адресов. Кроме того, они могут создавать
устойчивую, высокодоступную инфраструктуру управления и контроля (C2), скрывая
свои последующие вредоносные операции.
В сообщении говорится, что эта устойчивая и быстро
меняющаяся инфраструктура затрудняет отслеживание и блокирование вредоносных
действий, использующих Fast Flux.
Поставщикам услуг, особенно поставщикам защищенных DNS
(PDNS), предлагается помочь снизить эту угрозу, приняв упреждающие меры по
разработке точных, надежных и своевременных аналитических средств быстрого
обнаружения и блокировки потоков для своих клиентов.
Между тем, правительственным и критически важным
инфраструктурным организациям настоятельно рекомендуется координировать свои
действия со своими интернет-провайдерами, поставщиками услуг кибербезопасности
и/или службами защитного DNS для реализации мер по смягчению последствий.
Организации должны использовать службы
кибербезопасности и PDNS, которые обнаруживают и блокируют fast flux. В
рекомендациях отмечено, что некоторые поставщики PDNS могут не иметь
возможности сделать это, и фирмам следует подтвердить покрытие этой угрозы у
них.
«Внедряя надежные стратегии обнаружения и смягчения
последствий, организации могут значительно снизить риск компрометации со
стороны угроз, связанных с быстрым распространением информации», — заявили в
CSA.
Все стратегии смягчения последствий можно найти
на странице рекомендаций
Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png)
Два распространенных
варианта Fast Flux
CSA отметило, что Fast Flux использовался в атаках с
использованием программ-вымогателей Hive и Nefilim, а также использовался
российской APT-группой Gamaredon для ограничения эффективности блокировки
IP-адресов.
Существует два широко используемых варианта Fast Flux:
одинарный и двойной Flux.
Single flux видит одно доменное имя, связанное с
многочисленными IP-адресами, которые часто меняются в ответах DNS. Такая
настройка гарантирует, что если один IP-адрес заблокирован или отключен, домен
останется доступным через другие IP-адреса.
Double Flux дополняет эту технологию, быстро меняя
серверы имен DNS, отвечающие за разрешение домена.
Это обеспечивает дополнительный уровень избыточности и
анонимности для вредоносных доменов. Методы двойного потока были замечены с
использованием как DNS-записей сервера имен (NS), так и записей канонического
имени (CNAME).
Оба метода используют большое количество
скомпрометированных хостов, обычно как ботнет по всему Интернету, который
действует как прокси или ретрансляционные точки. Это затрудняет для сетевых
защитников идентификацию вредоносного трафика и блокировку или выполнение
юридических принудительных остановок вредоносной инфраструктуры.
Fast flux используется не только для поддержания связи
с командным сервером, но и может играть важную роль в фишинговых кампаниях,
затрудняя блокировку или закрытие сайтов социальной инженерии.
Кроме того, провайдеры абузоустойчивого хостинга
продвигают Fast Flux как отличительное свойство своих услуг, повышающее
эффективность вредоносных действий своих клиентов.
Совместный сертификат CSA был выпущен Агентством национальной безопасности
США (АНБ), Агентством по кибербезопасности и безопасности инфраструктуры
(CISA), Федеральным бюро расследований (ФБР), Австралийским центром
кибербезопасности Управления радиоэлектронной борьбы Австралии (ACSC ASD),
Канадским центром кибербезопасности (CCCS) и Национальным центром
кибербезопасности Новой Зеландии (NCSC-NZ).
Мошенники
выдают себя за вирус-вымогатель Clop, чтобы вымогать деньги у компаний
Рост популярности
DAST 2.0 в 2025 году
"Уязвимость нулевого дня в Windows: как
APT-группы использовали её почти десятилетие"
"Dependency-Check
— секретное оружие разработчиков для анализа зависимостей"
"GenAI — новое
оружие хакеров: как ИИ взламывает Google Chrome"
МЕТА ТЕГИ #Кибербезопасность, #Fast Flux, #угроза, #CSA, #CISA, #DNS, #вредоносные серверы, #инфраструктура, #кибератаки, #PDNS, #интернет-провайдеры, #национальная безопасность, #фишинг, #ботнет, #киберзащита, #вредоносные домены, #блокировка IP-адресов
Комментариев нет:
Отправить комментарий