Badan Cyber ​​memperingatkan taktik ancaman fluks cepat

Tiga lembaga yang berfokus pada cybersecurity AS, bersama lembaga serupa di Australia, Kanada dan Selandia Baru, baru-baru ini mengeluarkan peringatan tentang fluks cepat, jenis yang digunakan aktor ancaman taktik untuk menghindari deteksi dan pengusiran dari jaringan.

Fast Flux memberikan redundansi jaringan ancaman dengan redundansi jaringan dan memungkinkan mereka untuk menghindari menarik terlalu banyak perhatian pada sumber daya jaringan tertentu – seperti alamat IP, server nama atau nama domain. Ini berguna untuk menyembunyikan kompromi dalam jaringan yang biasanya dideteksi oleh lembaga oleh, misalnya, mencari tahu IP yang membahas komputer yang paling sering terhubung.

“Infrastruktur yang tangguh dan berubah dengan cepat ini membuat pelacakan dan memblokir kegiatan jahat yang menggunakan fluks cepat lebih sulit,” membaca laporan dari FBI, Badan Keamanan Nasional dan lembaga lain yang dikeluarkan Peringatannya.

Fluks cepat adalah aktor ancaman taktik yang paling sering digunakan dalam infrastruktur komando dan kontrol (C2). Ini adalah sistem yang digunakan aktor ancaman untuk mengontrol komputer di jaringan target. Seringkali, komputer ini memiliki malware yang diinstal pada mereka, tetapi menginstal malware hanyalah bagian dari pertempuran; Aktor ancaman kemudian harus memiliki komputer “telepon rumah” (yaitu, terhubung ke komputer aktor ancaman sendiri) sambil menghindari deteksi.

Salah satu teknologi berbahaya utama yang memungkinkan taktik fluks cepat adalah botnet. Botnet terdiri dari perangkat yang terhubung dengan internet yang, seringkali tanpa diketahui oleh pemilik perangkat, dikendalikan oleh aktor ancaman. Perangkat ini mungkin laptop, perangkat IoT atau apa pun yang terhubung ke internet.

Aktor ancaman lengan botnets dengan sejumlah besar komputer di mana mereka dapat proksi permintaan web, untuk mengaburkan perilaku mereka. Ini paling membantu ketika menyerang lembaga yang memiliki staf keamanan siber yang berdedikasi untuk mendeteksi perilaku ini.

Pada tingkat yang paling dasar, fluks cepat memungkinkan aktor ancaman untuk menggunakan sejumlah besar alamat IP yang tidak terhubung, sehingga tidak ada alamat tunggal yang terlihat terlalu mencurigakan. Jika komputer secara konsisten membuat banyak permintaan ke satu alamat IP, alamat itu kemungkinan akan mendapatkan perhatian seorang analis jaringan, yang pada akhirnya mengarah ke penyusup yang diperhatikan.

Untuk alasan ini dan lainnya, aktor ancaman sering menggunakan kumpulan alamat IP. Ini memungkinkan mereka untuk menyebarkan aktivitas di berbagai alamat, sehingga tidak ada alamat tunggal yang menarik terlalu banyak perhatian.

Ini adalah bagian dari pendekatan fluks cepat. Aktor ancaman mengubah alamat IP yang mereka gunakan untuk terhubung ke host yang dikompromikan, seringkali setiap lima menit atau lebih, ke alamat berikutnya di kolam renang.

Aktor ancaman mengubah alamat IP yang mereka gunakan untuk terhubung ke host yang dikompromikan dengan mengubah catatan DNS pada server nama yang digunakan host. Server nama mengambil nama domain (seperti americanbanker.com) dan memetakannya ke alamat IP (seperti 15.197.254.45) yang mana komputer dapat benar -benar terhubung. Catatan DNS menentukan pemetaan ini.

Skema fluks cepat yang lebih canggih melibatkan putaran bukan hanya alamat IP tetapi juga server nama.

Daripada memukul server nama yang sama dengan permintaan DNS setiap kali host yang dikompromikan mencoba untuk terhubung ke jaringan berbahaya, aktor ancaman berputar melalui sejumlah server nama. Sama seperti berputar melalui alamat IP membuat setiap alamat IP kurang mencurigakan, berputar melalui server nama mencegah salah satu server mendapatkan terlalu banyak perhatian.

Kemajuan teknis lain yang dapat dilakukan oleh aktor jahat untuk fluks cepat adalah berputar melalui nama domain. Ini memastikan tidak hanya bahwa tidak ada nama domain tunggal yang menarik terlalu banyak perhatian, tetapi jika nama domain ditutup atau dimatikan, aktor ancaman dapat mengandalkan yang berbeda untuk terhubung ke host yang dikompromikan.

Beberapa metode ada untuk secara langsung mengganggu perilaku fluks cepat. Sebaliknya, lembaga yang mengeluarkan peringatan yang direkomendasikan pemangku kepentingan mengembangkan dan mengimplementasikan solusi yang dapat diskalakan untuk menutup “kesenjangan yang berkelanjutan dalam pertahanan jaringan” dan mengeluarkan sejumlah penanggulangan tidak langsung.

“Dengan cepat mendeteksi aktivitas fluks cepat berbahaya dan membedakannya dari aktivitas yang sah tetap menjadi tantangan yang berkelanjutan untuk mengembangkan analitik deteksi fluks yang akurat, andal, dan tepat waktu,” bunyi peringatan itu.

Peringatan itu secara khusus memanggil DNS pelindung, atau PDN, penyedia yang perlu membantu mengurangi ancaman fluks cepat. Penyedia ini mendukung sistem DNS yang dieksploitasi oleh aktor jahat untuk menghindari deteksi; Peringatan tersebut memohon penyedia ini untuk mengimplementasikan deteksi anomali untuk mengidentifikasi domain yang sering beralih di antara alamat IP, terutama jika alamat tersebut memiliki geolokasi yang tidak konsisten.

Sedangkan untuk organisasi lain, agensi mendorong praktik aktivitas berbahaya yang membengkokkan begitu ditemukan. Sinkholing berarti mengarahkan kembali lalu lintas dari domain jahat ke server yang dapat menangkap dan menganalisis lalu lintas – pada dasarnya mencegat pesan yang dimaksudkan untuk host yang dikompromikan, untuk membantu mengidentifikasi kompromi lainnya.

Sementara fluks cepat dimaksudkan untuk menghindari daftar hitam, lembaga tetap merekomendasikan memblokir lalu lintas ke dan dari alamat IP dengan reputasi yang buruk, terutama yang diidentifikasi berpartisipasi dalam aktivitas fluks cepat.

Berbagi indikator kompromi, terutama alamat IP yang terlibat dalam skema ini, juga dapat membantu lembaga lain menghindarinya.