行业新闻与博客

美国和国际网络安全机构已向各组织、互联网服务提供商 (ISP) 和网络安全服务提供商发出警告，称 Fast Flux 支持的恶意活动正在持续威胁。

根据 4月3日发布的联合网络安全警告（CSA），许多网络在检测和阻止 Fast Flux 技术的防御方面存在漏洞，这对国家安全构成了重大威胁。

恶意攻击者会使用 Fast Flux 快速更改域名系统 (DNS) 记录（例如 IP 地址），从而混淆恶意服务器的位置。此外，他们还可以创建弹性、高可用性的命令和控制 (C2) 基础设施，从而隐藏其后续的恶意操作。

该咨询报告指出，这种有弹性且快速变化的基础设施使得追踪和阻止使用快速通量的恶意活动变得更加困难。

我们鼓励服务提供商，尤其是保护性 DNS（PDNS）提供商，采取主动措施为客户开发准确、可靠、及时的快速通量检测分析和阻止功能，以帮助减轻这种威胁。 

同时，政府和关键基础设施组织被敦促与其 ISP、网络安全服务提供商和 / 或其保护性 DNS 服务协调以实施缓解措施。

组织应使用可检测和阻止快速通量的网络安全和 PDNS 服务。该咨询报告指出，一些 PDNS 提供商可能没有能力这样做，公司应与他们确认是否覆盖了此威胁。

CSA 表示：“通过实施强大的检测和缓解策略，组织可以显著降低受到快速通量威胁的风险。”

所有缓解策略均可在网络安全和基础设施安全局 (CISA) 咨询页面上找到。

两种常见的快速通量变体

CSA 指出，Fast Flux 已被用于 Hive 和 Nefilim 勒索软件攻击，并被俄罗斯 APT Gamaredon 用于限制 IP 阻止的有效性。

Fast Flux 有两种广泛使用的变体：单 Flux 和双 Flux。

Single flux 是指将单个域名链接到多个 IP 地址，这些 IP 地址在 DNS 响应中频繁轮换。此设置可确保如果一个 IP 地址被阻止或关闭，该域名仍可通过其他 IP 地址访问。

Double Flux 通过快速改变负责解析域的 DNS 名称服务器来增强此技术。

这为恶意域提供了额外的冗余和匿名层。已经观察到使用名称服务器 (NS) 和规范名称 (CNAME) DNS 记录的双通量技术。

这两种技术都利用大量受感染的主机，通常是来自互联网的僵尸网络，充当代理或中继点。这使得网络防御者很难识别恶意流量并阻止或执行对恶意基础设施的合法执法拆除。 

Fast flux 不仅用于维持 C2 通信，它还可以在网络钓鱼活动中发挥重要作用，使社交工程网站更难被阻止或关闭。

此外，防弹托管服务提供商推广 Fast Flux 作为服务差异化因素，以提高其客户恶意活动的有效性。

该联合 CSA 由美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、澳大利亚信号局的澳大利亚网络安全中心 (ASD 的 ACSC)、加拿大网络安全中心 (CCCS) 和新西兰国家网络安全中心 (NCSC-NZ) 发布。