文章出處：資安人 / 編輯部
發表時間：2025-04-07

美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、國家安全局(NSA)與澳洲、加拿大、紐西蘭等國際網路安全機構近日發布聯合公告，警告組織和DNS服務提供商應積極應對「Fast Flux」網路犯罪規避技術。這項技術被國家級威脅行為者和勒索軟體集團廣泛利用，並已被正式列為國家安全威脅。

Fast Flux技術原理與應用

Fast Flux是一種DNS技術，主要用於規避偵測並維持彈性的基礎設施，常被用於指揮控制(C2)、釣魚攻擊和惡意軟體傳播。該技術的核心機制在於快速更改DNS記錄（IP地址和/或名稱伺服器），使防禦者難以追蹤惡意活動的來源並進行封鎖。

根據CISA的公告，Fast Flux主要有兩種類型：

• 單重快速流動（Single Flux）：攻擊者頻繁輪換與域名相關聯的IP地址。這確保即使一個IP地址被封鎖或關閉，該域名仍可通過其他IP地址訪問。
   
• 雙重快速流動（Double Flux）：除了輪換域名的IP地址外，負責解析域名的DNS名稱伺服器本身也會快速變更，為惡意域名提供額外的匿名層，使防禦和執法行動更加困難。

這兩種技術通常利用大量受感染的主機（通常作為殭屍網路）作為代理或中繼點，使網路防禦者難以識別惡意流量並封鎖或執行法律強制接管惡意基礎設施。

威脅行為者與應用案例

CISA指出，從低階網路犯罪分子到高度複雜的國家級駭客，各種層次的威脅行為者都廣泛採用Fast Flux技術。機構特別提到以下案例：

• Gamaredon：俄羅斯國家支持的駭客組織，部署Fast Flux技術以限制IP封鎖的有效性
• Hive勒索軟體：利用此技術隱藏其基礎設施位置
• Nefilim勒索軟體：同樣採用Fast Flux規避執法和關閉行動
• 防彈主機代管服務供應商：許多已被執法機構查封或制裁的防彈託管服務現在嘗試通過提供Fast Flux服務來差異化自己

值得注意的是，「防彈主機代管」(bulletproof hosting，BPH)服務業者通常無視執法機構的要求，正積極將Fast Flux作為服務提供給客戶。這使得惡意活動如殭屍網路管理、假冒線上商店和憑證竊取等能夠無縫運作，同時提供一層防止被檢測和關閉的保護。報告指出，Hive和Nefilim勒索軟體攻擊中已經使用了這種服務。一家BPH提供商甚至在廣告中宣傳其服務能夠繞過Spamhaus阻止列表，突顯了這項技術對網路犯罪分子的吸引力。

容易被攻擊的服務：

• DNS 伺服器：攻擊者利用 Fast Flux 技術快速更改 DNS 記錄，使得追蹤惡意活動的來源變得困難。
• 殭屍網路：大量受感染的主機被用作代理或中繼點，進一步隱藏惡意流量。

間接被利用的漏洞：

• 低 TTL 值：攻擊者設定極短的存留時間 (TTL)，使得 IP 位址快速變更，增加偵測難度。
• 循環 DNS：攻擊者利用負載平衡技術混淆惡意活動，讓安全團隊難以封鎖。

偵測與緩解建議

CISA與國際機構建議採用多層次方法來偵測和緩解Fast Flux攻擊：

偵測技術：

• 分析DNS日誌：尋找頻繁的IP地址輪換、低TTL值、IP和地理位置不一致的解析
• 整合外部威脅情報：將DNS/IP信譽服務納入防火牆、SIEM和DNS解析器，標記已知的Fast Flux域名
• 使用網路流量數據：監控DNS流量，檢測短時間內對多個IP的大量出站查詢或連接
• 識別可疑域名或電子郵件：與DNS異常交叉參考，檢測使用Fast Flux支持釣魚、惡意軟體傳遞或C2通信的活動
• 實施組織特定偵測算法：基於歷史DNS行為和網路基準，提高檢測準確性

緩解措施：

• 使用DNS/IP阻止列表和防火牆規則：阻止訪問Fast Flux基礎設施
• 採用信譽評分進行流量阻止：實施集中式日誌記錄和DNS異常實時警報
• 提高釣魚意識培訓：教育員工識別可能使用Fast Flux技術的釣魚企圖
• 與服務提供商協調：特別是保護性DNS(PDNS)提供商，以實施這些措施

專家指出，Fast Flux技術已存在十多年，但最近引起高度警覺的原因是該技術的不斷完善，以及更廣泛的威脅行為者開始利用它來規避防禦系統。


原文引用連結：https://reurl.cc/mxZm2Y