Агентство национальной безопасности предупреждает: "Быстрый поток" угрожает национальной безопасности

Анонимный читатель приводит отчёт из Ars Technica: техника, которую используют враждебные государства и группы вымогателей, стремящиеся к финансовой выгоде, для сокрытия своих операций, представляет угрозу для критической инфраструктуры и национальной безопасности, предупреждает Национальное управление по безопасности (National Security Agency - NSA). Эта техника известна как fast flux. Она позволяет децентрализованным сетям, управляемым злоумышленниками, скрывать свою инфраструктуру и выживать при попытках её ликвидации, которые в противном случае увенчались бы успехом.

Fast flux работает путём циклического переключения между рядом IP-адресов и доменных имён, которые эти ботнеты используют для подключения к Интернету. В некоторых случаях IP-адреса и доменные имена меняются каждый день или два; в других случаях они меняются почти каждый час. Постоянный поток усложняет задачу изоляции истинного источника инфраструктуры. Он также обеспечивает избыточность. К тому времени, как защитники блокируют один адрес или домен, новые уже были назначены.

"Эта техника представляет значительную угрозу национальной безопасности, позволяя злоумышленникам в киберпространстве постоянно уклоняться от обнаружения", - предупредили в четверг NSA, ФБР и их коллеги из Канады, Австралии и Новой Зеландии. "Злоумышленники в киберпространстве, включая киберпреступников и представителей государств, используют fast flux для сокрытия местонахождения вредоносных серверов путём быстрого изменения записей системы доменных имён (DNS). Кроме того, они могут создавать надёжную, высокодоступную инфраструктуру команд и управления (C2), скрывая свои последующие вредоносные операции".

В уведомлении описаны два варианта fast flux: single flux и double flux. Single flux включает сопоставление одного домена с вращающимся пулом IP-адресов с использованием записей DNS A (IPv4) или AAAA (IPv6). Постоянное циклирование затрудняет отслеживание или блокировку связанных вредоносных серверов защитниками, поскольку адреса часто меняются, но доменное имя остаётся неизменным.

Double flux идёт ещё дальше, также вращая сами серверы DNS. В дополнение к изменению IP-адресов домена он циклично проходит через серверы имён с использованием записей NS (Name Server) и CNAME (Canonical Name). Это добавляет дополнительный уровень сокрытия и устойчивости, усложняя ликвидацию усилий.

"Ключевым средством достижения этой цели является использование wildcard-записей DNS", - отмечает Ars. "Эти записи определяют зоны в системе доменных имён, которые сопоставляют домены с IP-адресами. Joker-символы вызывают запросы DNS для несуществующих поддоменов, конкретно связывая записи MX (mail exchange) для обозначения почтовых серверов. Результатом является присвоение атакующему IP-адресу поддомена, такого как malicious.example.com, даже если он не существует".

Оба метода обычно опираются на большие ботнеты из скомпрометированных устройств, выступающих в качестве прокси, что затрудняет для защитников отслеживание или прерывание вредоносной активности.