CISA, el FBI, la NSA y las agencias internacionales de ciberseguridad instan a las organizaciones y proveedores de DNS a mitigar la técnica de evasión "Fast Flux", utilizada por actores de amenazas estatales y bandas de ransomware.
Aunque la técnica no es nueva, su eficacia se ha documentado y demostrado repetidamente en ciberataques reales.
Cómo Fast Flux ayuda con la evasión
Fast Flux es una técnica de DNS que se utiliza para evadir la detección y mantener una infraestructura resiliente para comando y control (C2), phishing y distribución de malware. Implica la rápida evolución de los registros DNS (direcciones IP o servidores de nombres), lo que dificulta a los defensores rastrear el origen de la actividad maliciosa y bloquearla.
A menudo se alimenta de botnets formadas por grandes redes de sistemas comprometidos que actúan como proxies o repetidores para facilitar estos cambios rápidos.
El boletín de CISA destaca dos tipos principales de esta técnica: Single Flux y Double Flux.
- Al usar Single Flux, los atacantes rotan frecuentemente las direcciones IP asociadas a un nombre de dominio en las respuestas DNS.
- Con Double Flux, además de rotar las IP del dominio, los propios servidores DNS también cambian rápidamente, lo que añade una capa adicional de ofuscación que dificulta aún más los intentos de desmantelamiento.
CISA afirma que Fast Flux es ampliamente utilizado por actores de amenazas de todos los niveles, desde ciberdelincuentes de bajo nivel hasta actores estatales altamente sofisticados.
La agencia destaca los casos de Gamaredon, ransomware Hive, ransomware Nefilim y proveedores de servicios de alojamiento web a prueba de balas, todos ellos utilizando Fast Flux para evadir a las fuerzas del orden y los esfuerzos de desmantelamiento que podrían interrumpir sus operaciones.
Recomendaciones
CISA ha enumerado múltiples medidas para ayudar a detectar y detener Fast Flux y mitigar la actividad facilitada por esta técnica de evasión.
- Analizar los registros de DNS para detectar rotaciones frecuentes de direcciones IP, valores TTL bajos, alta entropía de IP y resoluciones geográficamente inconsistentes.
- Integrar fuentes de amenazas externas y servicios de reputación DNS/IP en firewalls, SIEM y resolutores DNS para identificar dominios Fast Flux conocidos e infraestructura maliciosa.
- Utilizar datos de flujo de red y la monitorización del tráfico DNS para detectar grandes volúmenes de consultas salientes o conexiones a numerosas IP en períodos cortos. Identifique dominios o correos electrónicos sospechosos y compárelos con anomalías de DNS para detectar campañas que utilizan Fast Flux para facilitar el phishing, la distribución de malware o la comunicación C2.
- Implementar algoritmos de detección específicos para cada organización basados en el comportamiento histórico de DNS y las líneas base de la red, mejorando así la precisión de la detección en comparación con las reglas genéricas.
Para mitigar este problema, CISA recomienda usar listas negras de DNS/IP y reglas de firewall para bloquear el acceso a la infraestructura de Fast Flux y, siempre que sea posible, filtrar el tráfico a los servidores internos para su posterior análisis.
También se recomienda utilizar la puntuación de reputación para el bloqueo de tráfico, implementar un registro centralizado y alertas en tiempo real para anomalías de DNS, y participar en redes de intercambio de información.
Fuente: BC