07 avril 2025Ravie LakshmananSécurité malveillante / réseau

Les agences de cybersécurité d’Australie, du Canada, de la Nouvelle-Zélande et des États-Unis ont publié un avis conjoint sur les risques associés à une technique appelée flux rapide Cela a été adopté par les acteurs de la menace pour obscurcir un canal de commande et de contrôle (C2).

“‘Fast Flux’ est une technique utilisée pour obscurcir les emplacements des serveurs malveillants via des enregistrements de système de nom de domaine en évolution rapide associés à un seul nom de domaine”, les agences dit. “Cette menace exploite un écart couramment trouvé dans les défenses du réseau, ce qui rend difficile le suivi et le blocage des activités de flux rapide malveillantes.”

Cybersécurité

L’avis est gracieuseté de l’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA), de la National Security Agency (NSA), du Federal Bureau of Investigation (FBI), du Australian Signals Direction de la Cyber ​​Security Center de la Direction des signaux australiens, du Centre national de cybersécurité de la Nouvelle-Zélande.

Fast Flux a été adopté par de nombreux groupes de piratage ces dernières années, notamment des acteurs de la menace liés à Gamaredon, Cryptochameleon et Raspberry Robin dans un effort pour faire en sorte que leur infrastructure malveillante échappe à la détection et aux démontages des forces de l’ordre.

Le approche implique essentiellement d’utiliser une variété d’adresses IP et de les faire tourner en succession rapide, tout en pointant un domaine malveillant. Il a été détecté pour la première fois dans la nature en 2007 dans le cadre du projet Honeynet.

Il peut être soit un seul flux, où un nom de domaine unique est lié à de nombreuses adresses IP, soit à double flux, où en plus de modifier les adresses IP, les serveurs de noms DNS responsables de la résolution du domaine sont également changés, offrant une couche supplémentaire de redondance et d’anonymat pour les domaines Rogue.

“Un réseau de flux rapide est` `rapide ” parce que, en utilisant DNS, il tourne rapidement à travers de nombreux robots, en utilisant chacun pendant seulement un court laps de temps pour rendre les efforts de dénomination et de retrait basés sur l’IP difficile”, Palo Alto Networks Unit 42 dit Dans un rapport publié en 2021.

Décrivant le flux rapide comme une menace de sécurité nationale, les agences ont déclaré que les acteurs de la menace utilisent la technique pour obscurcir les emplacements des serveurs malveillants, ainsi que pour établir des infrastructures C2 résilientes qui peuvent résister aux efforts de retrait.

Cybersécurité

Ce n’est pas tout. Fast Flux joue un rôle essentiel au-delà des communications C2 pour aider également les adversaires à héberger des sites Web de phishing, ainsi que les logiciels malveillants et distribuer des logiciels malveillants.

Pour sécuriser contre Fast Flux, les organisations sont recommandées pour bloquer les adresses IP, les domaines malveillants de goutte à goutte, filtrer le trafic vers et depuis les domaines ou les adresses IP avec une mauvaise réputation, mettant en œuvre une surveillance améliorée et appliquant la sensibilisation et la formation à la prise en charge.

“Le flux rapide représente une menace persistante pour la sécurité du réseau, tirant parti de l’infrastructure en évolution rapide pour obscurcir l’activité malveillante”, ont indiqué les agences. “En mettant en œuvre des stratégies de détection et d’atténuation robustes, les organisations peuvent réduire considérablement leur risque de compromis par des menaces rapides compatibles avec les flux.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57