La CISA, el FBI, la NSA y otras agencias internacionales de ciberseguridad están instando a organizaciones y proveedores de DNS a mitigar la técnica de evasión Fast Flux, utilizada por actores de amenazas patrocinados por el estado y bandas de ransomware.
Aunque no es una técnica nueva, su efectividad ha sido documentada en varios ciberataques reales.
¿Qué es la técnica Fast Flux?
Fast Flux es una técnica de DNS utilizada para evadir la detección y mantener infraestructuras resilientes que faciliten el control de comandos (C2), el phishing y la entrega de malware.
Esta técnica implica cambiar rápidamente los registros de DNS (direcciones IP y/o servidores de nombres), lo que hace difícil para los defensores rastrear el origen de la actividad maliciosa y bloquearla.
El proceso es frecuentemente potenciado por botnets, grandes redes de sistemas comprometidos que actúan como proxies o intermediarios para facilitar estos rápidos cambios.
Tipos de Fast Flux
CISA destaca dos tipos principales de esta técnica: Single Flux y Double Flux.
- Single Flux: Los atacantes rotan frecuentemente las direcciones IP asociadas con un nombre de dominio en las respuestas DNS.
- Double Flux: Además de rotar las IPs del dominio, los servidores DNS también cambian rápidamente, lo que añade una capa extra de ofuscación para dificultar aún más los esfuerzos de eliminación.
Actores que usan Fast Flux ️♂️
CISA señala que Fast Flux es ampliamente utilizado por actores de amenazas de todos los niveles, desde ciberdelincuentes de bajo nivel hasta sofisticados actores patrocinados por el estado.
Ejemplos de grupos que emplean esta técnica incluyen:
- Gamaredon
- Hive ransomware
- Nefilim ransomware
- Proveedores de hosting a prueba de balas (bulletproof hosting)
Estos grupos utilizan Fast Flux para eludir la ley y los esfuerzos de eliminación que interrumpirían sus operaciones.
Recomendaciones de CISA
CISA ha proporcionado varias medidas para ayudar a detectar y detener Fast Flux y mitigar la actividad facilitada por esta técnica de evasión. Las recomendaciones incluyen:
- Analizar los registros DNS en busca de rotaciones frecuentes de IPs, valores de TTL bajos, alta entropía de IPs y resoluciones geográficamente inconsistentes.
- Integrar feeds de amenazas externas y servicios de reputación de DNS/IP en firewalls, SIEM y resolutores DNS para identificar dominios conocidos de Fast Flux y infraestructura maliciosa.
- Monitorear el tráfico DNS y los flujos de red para detectar grandes volúmenes de consultas salientes o conexiones a numerosos IPs en períodos cortos.
- Identificar dominios sospechosos o correos electrónicos y cruzarlos con anomalías de DNS para detectar campañas de phishing, entrega de malware o comunicaciones C2.
- Implementar algoritmos de detección específicos para la organización, basados en el comportamiento histórico de DNS y baselines de red.
Para mitigar el riesgo, CISA recomienda:
- Bloquear el acceso a la infraestructura Fast Flux utilizando listas de bloqueo de DNS/IP y reglas de firewall.
- Sinking traffic hacia servidores internos para su análisis.
- Usar calificación reputacional para bloquear tráfico y participar en redes de intercambio de información para mantenerse actualizado.
Implementando estas estrategias, las organizaciones pueden aumentar sus defensas contra este tipo de técnicas de evasión y mitigar riesgos de cibercriminales. ️