Fast Flux
Fast Flux to zaawansowana technika jaką cyberprzestępcy wykorzystują w celu ukrycia swojej infrastruktury przestępczej. Głównym celem jest utrudnianie organom ścigania usuwania ich serwerów i blokowania adresów IP. Pozwala im to na utrzymanie sprawności ich sieci i środowiska, dzięki czemu mogą czynnie wykorzystywać swoje zasoby do cyberataków. Technikę tą cyberprzestępcy stosują najczęściej w celu utrzymania kampanii phishingowych i oszustw aby utrzymać stale źródła przychodów z ich niecnych działań.
Jak działa Fast Flux?
Fast Flux polega na ciągłej zmianie adresów IP bądź hostów, które przekierowują ruch internetowy do serwera docelowego. Cyberprzestępcy wykorzystują botnety czyli sieć zainfekowanych komputerów do zarządzania swoją infrastrukturą. Maszyny te pełnią rolę serwerów proxy a ich zadaniem jest przekierowanie ruchu do serwera docelowego (który przykładowo hostuje złośliwą stronę phishingową lub zawiera malware). Adresy IP, które przekierowują ruch są na bieżąco zmieniane nawet co kilka minut lub sekund. W procesie tym używane są skomplikowane mechanizmy DNS (Domain Name System) do zarządzania przekierowaniami, polegające na sprawnej zamianie rekordów A. Ta technika znacząco utrudnia zlokalizowanie i blokadę serwerów przez np. zespół SOC. Szczególny problem stanowi wykorzystanie subdomen, które dodatkowo utrudniają wszelką identyfikację i proces analizy ruchu. Działanie to pozwala na utrzymanie serwera docelowego w pełnej gotowości, a zainfekowane maszyny pełnią w pewnym sensie rolę kamuflaża.
Dlaczego Fast Flux jest groźny?
Fast Flux nie bez powodu jest w pełni zabronioną przez władzę metodą wspomagającą różnego rodzaju ataki. Jego głównym problemem jest trudność w identyfikacji a co za tym idzie również skuteczność jego działania. Z powodu rotacji adresów IP i hostów z całego świata ciężko jest określić położenie centralnego punktu kontrolnego. Bez dokładnej znajomości lokalizacji organom ścigania ciężko będzie zidentyfikować sprawcę. Warto zwrócić również uwagę na skuteczność Fast Flux. Technika ta utrudnia zablokowanie złośliwych serwerów, a obecne rozwiązania na brzegu sieci wykorzystujące filtry IP i blokady na poziomie DNS, mogą być omijane poprzez szybką rotację adresów IP i hostów. Atakujący mogą zatem skutecznie działać na dłuższą metę unikając wykrycia. Kolejną silną cechą Fast Flux jest wykorzystanie metody w różnych rodzajach ataków. Poprzez posiadanie sieci botnet, atakujcy ma możliwość rozprzestrzeniać wiadomości phishingowe, wszelkiego rodzaju malware oraz stosować ataki DDoS na określone cele. Technikę Fast Flux bez problemu można zatem dostosować do konkretnych celów co potencjalnie stanowi większe zagrożenie.
Aby zrozumieć dokładniej zamysł wykorzystania tej techniki, możemy wyobrazić sobie sytuację w której grupa paru osób napada na bank. Jeśli Policja wie, jakim samochodem się poruszają mogą bez większego problemu go namierzyć zanim złodzieje opuszczą miasto. Jednak co jakiś czas złodzieje wysiadają i dysponując bagażnikiem pełnym różnych tablic rejestracyjnych zmieniają je. Policja w takim przypadku może mieć problem z zidentyfikowaniem pojazdu. W podobny sposób cyberprzestępca zmienia adresy IP witryny, a zespół SOC ma problem z zablokowaniem serwera docelowego.
Jak chronić środowisko przed Fast Flux?
Obrona przed Fast Flux jest niestety trudna, a firma powinna wykorzystać wielowarstwowe podejście do bezpieczeństwa:
- IPS oraz IDS – w pierwszej kolejności firma powinna wdrożyć rozwiązanie IDS (Intrusion Detection System) a najlepiej IPS (Intrusion Prevention System). Różnica między nimi jest taka, że IDS alarmuje o potencjalnych zagrożeniach, natomiast IPS może dodatkowo podejmować działa zapobiegawcze, czyli blokować podejrzane adresy IP,
- Monitorowanie ruchu sieciowego – monitorowanie ruchu sieciowego powinno odbywać się w systemie 24/7 aby skutecznie bronić się przed Fast Flux. Warto rozważyć zakup usługi MDR, podczas której zespół specjalistów będzie śledzić ruch sieciowy wchodzący i wychodzący z podejrzanych źródeł,
- Zapora sieciowa – niemalże każda firma na brzegu sieci korzysta z gamy rozwiązań firewallowych, niektóre z nich posiadają filter DNS. Firewall może również blokować dostęp do podejrzanych i nieznanych serwerów DNS. Warto również skonfigurować reguły blokujące ruch z dynamicznie zmieniających się adresów IP,
- Aktualizacje – regularne aktualizacje oprogramowań i system mogą pomóc w zabezpieczeniu przed lukami, jakie atakujący może wykorzystać do zainfekowania komputerów do botneta,
- Socjotechnika – świadomość pracowników o zagrożeniach jest niezwykle ważna, ponieważ to od nich zależy czy klikną w zainfekowany mail phishingowy bądź z malwarem. Warto zainwestować w odpowiednie szkolenia aby podnieść ich wiedzę na wyższy poziom.