ФБР и CISA предупреждают о новом способе уклонения от DNS Fast Flux, используемом киберпреступниками

Агентство кибербезопасности инфраструктуры и США (CISA) выпустило предупреждение для государственных учреждений, провайдеров интернет-услуг (ISP) и других организаций о так называемых «атаках с быстрым потоком», которые, по его словам, становятся все более серьезной проблемой в киберпространстве.

Атаки с быстрым потоком - это техника, при которой злоумышленники быстро меняют IP-адреса, связанные с вредоносным доменом, используя ботнет. Это затрудняет отслеживание и ликвидацию таких атак. Этот метод помогает скрывать фишинговые сайты, сети распространения вредоносного ПО и серверы управления и контроля, используя постоянно меняющийся пул скомпрометированных хостов.

Для борьбы с угрозой CISA опубликовало новое уведомление о безопасности вместе с ФБР, NSA, Австралийским центром кибербезопасности дирекции сигналов (ACSC ASD) и Канадским центром кибербезопасности (CCCS), а также Новозеландским национальным центром кибербезопасности (NCSC-NZ).

«Многие сети имеют пробелы в своей защите, связанные с обнаружением и блокированием вредоносной техники, известной как «быстрый поток», — говорится в уведомлении. «Это уведомление направлено на то, чтобы побудить поставщиков услуг, особенно поставщиков защитного DNS (PDNS), принять проактивные меры по разработке точных, надежных и своевременных аналитических данных о обнаружении и блокировании атак с быстрым потоком для своих клиентов».

CISA также предоставило рекомендации по обнаружению и смягчению атак с быстрым потоком. К ним относятся многоуровневый подход, включающий анализ DNS, мониторинг сети и сведения об угрозах. В документе также говорится, что агентства должны работать вместе над созданием и внедрением масштабируемых решений, которые «закроют существующие пробелы» в сетевой защите.

Наконец, агентства подчеркнули, что некоторые законные действия, такие как обычное поведение сети доставки контента (CDN), «могут выглядеть» как вредоносная активность с быстрым потоком. Поставщики защитного DNS, поставщики услуг и защитники сети должны приложить разумные усилия, например, включить ожидаемые службы CDN в белый список, чтобы избежать блокирования или затруднения доступа к законному контенту, — заключает уведомление.