行業新聞與部落格

美國和國際網路安全機構已向各組織、網際網路服務提供商 (ISP) 和網路安全服務提供商發出警告，稱 Fast Flux 支援的惡意活動正在持續威脅。

根據 4月3日釋出的聯合網路安全警告（CSA），許多網路在檢測和阻止 Fast Flux 技術的防禦方面存在漏洞，這對國家安全構成了重大威脅。

惡意攻擊者會使用 Fast Flux 快速更改網域名稱系統 (DNS) 記錄（例如 IP 地址），從而混淆惡意伺服器的位置。此外，他們還可以建立彈性、高可用性的命令和控制 (C2) 基礎設施，從而隱藏其後續的惡意操作。

該諮詢報告指出，這種有彈性且快速變化的基礎設施使得追蹤和阻止使用快速通量的惡意活動變得更加困難。

我們鼓勵服務提供商，尤其是保護性 DNS（PDNS）提供商，採取主動措施為客戶開發準確、可靠、及時的快速通量檢測分析和阻止功能，以幫助減輕這種威脅。 

同時，政府和關鍵基礎設施組織被敦促與其 ISP、網路安全服務提供商和 / 或其保護性 DNS 服務協調以實施緩解措施。

組織應使用可檢測和阻止快速通量的網路安全和 PDNS 服務。該諮詢報告指出，一些 PDNS 提供商可能沒有能力這樣做，公司應與他們確認是否覆蓋了此威脅。

CSA 表示：“透過實施強大的檢測和緩解策略，組織可以顯著降低受到快速通量威脅的風險。”

所有緩解策略均可在網路安全和基礎設施安全域性 (CISA) 諮詢頁面上找到。

兩種常見的快速通量變體

CSA 指出，Fast Flux 已被用於 Hive 和 Nefilim 勒索軟體攻擊，並被俄羅斯 APT Gamaredon 用於限制 IP 阻止的有效性。

Fast Flux 有兩種廣泛使用的變體：單 Flux 和雙 Flux。

Single flux 是指將單個網域名稱連結到多個 IP 地址，這些 IP 地址在 DNS 響應中頻繁輪換。此設定可確保如果一個 IP 地址被阻止或關閉，該網域名稱仍可透過其他 IP 地址訪問。

Double Flux 透過快速改變負責解析域的 DNS 名稱伺服器來增強此技術。

這為惡意域提供了額外的冗餘和匿名層。已經觀察到使用名稱伺服器 (NS) 和規範名稱 (CNAME) DNS 記錄的雙通量技術。

這兩種技術都利用大量受感染的主機，通常是來自網際網路的殭屍網路，充當代理或中繼點。這使得網路防禦者很難識別惡意流量並阻止或執行對惡意基礎設施的合法執法拆除。 

Fast flux 不僅用於維持 C2 通訊，它還可以在網路釣魚活動中發揮重要作用，使社交工程網站更難被阻止或關閉。

此外，防彈託管服務提供商推廣 Fast Flux 作為服務差異化因素，以提高其客戶惡意活動的有效性。

該聯合 CSA 由美國國家安全域性 (NSA)、網路安全和基礎設施安全域性 (CISA)、聯邦調查局 (FBI)、澳大利亞訊號局的澳大利亞網路安全中心 (ASD 的 ACSC)、加拿大網路安全中心 (CCCS) 和紐西蘭國家網路安全中心 (NCSC-NZ) 釋出。