La CISA, le FBI, la NSA et les agences internationales de cybersécurité appellent les organisations et les fournisseurs de DNS à atténuer la technique d’évasion de la cybercriminalité « à flux rapide » utilisée par les acteurs de la menace parrainés par l’État et les gangs de ransomwares.
Bien que la technique ne soit pas nouvelle, son efficacité a été documentée et prouvée à plusieurs reprises lors de cyberattaques réelles.
Comment Fast Flux aide à l’évasion
Fast Flux est une technique DNS utilisée pour échapper à la détection et maintenir une infrastructure résiliente utilisée pour le commandement et le contrôle (C2), le phishing et la diffusion de logiciels malveillants.
Cela implique de changer rapidement les enregistrements DNS (adresses IP et / ou serveurs de noms), ce qui rend difficile pour les défenseurs de retracer la source de l’activité malveillante et de la bloquer.
Il est souvent alimenté par des botnets formés de grands réseaux de systèmes compromis qui agissent comme des proxys ou des relais pour faciliter ces commutateurs rapides.
Le bulletin de la CISA met en évidence deux principaux types de technique, à savoir le flux simple et le flux double.
Lors de l’utilisation d’un flux unique, les attaquants alternent fréquemment les adresses IP associées à un nom de domaine dans les réponses DNS.
Avec le Double Flux, en plus de la rotation des adresses IP pour le domaine, les serveurs de noms DNS eux-mêmes changent également rapidement, ajoutant une couche supplémentaire d’obscurcissement pour rendre les efforts de retrait encore plus difficiles.
CISA affirme que le flux rapide est largement utilisé par les acteurs de la menace de tous niveaux, des cybercriminels de bas niveau aux acteurs hautement sophistiqués des États-nations.
L’agence met en évidence les cas de Gamaredon, Hive ransomware, Nefilim ransomware et des fournisseurs de services d’hébergement pare-balles, tous utilisant un flux rapide pour échapper aux efforts d’application de la loi et de retrait qui perturberaient leurs opérations.
Recommandations de la LPCC
CISA a répertorié plusieurs mesures pour aider à détecter et à arrêter les flux rapides et à atténuer les activités facilitées par la technique d’évasion.
Les techniques de détection proposées sont résumées comme suit:
- Analysez les journaux DNS pour détecter les rotations fréquentes d’adresses IP, les faibles valeurs TTL, l’entropie IP élevée et les résolutions géographiquement incohérentes.
- Intégrez des flux de menaces externes et des services de réputation DNS/IP dans les pare-feu, les SIEM et les résolveurs DNS pour signaler les domaines à flux rapide connus et les infrastructures malveillantes.
- Utilisez la surveillance des données de flux réseau et du trafic DNS pour détecter de gros volumes de requêtes sortantes ou de connexions à de nombreuses adresses IP sur de courtes périodes.
- Identifiez les domaines ou e-mails suspects et effectuez des références croisées avec les anomalies DNS pour détecter les campagnes utilisant Fast Flux pour prendre en charge le phishing, la diffusion de logiciels malveillants ou la communication C2.
- Implémentez des algorithmes de détection spécifiques à l’organisation basés sur le comportement DNS historique et les lignes de base du réseau, améliorant ainsi la précision de la détection par rapport aux règles génériques.
Pour l’atténuation, CISA recommande d’utiliser des listes de blocage DNS/IP et des règles de pare-feu pour bloquer l’accès à l’infrastructure à flux rapide et, si possible, le trafic de puits vers les serveurs internes pour une analyse plus approfondie.
L’utilisation de la notation de réputation pour le blocage du trafic, la mise en œuvre d’une journalisation centralisée et d’alertes en temps réel pour les anomalies DNS, et la participation à des réseaux de partage d’informations sont également encouragées.