Η CISA, το FBI, η NSA και οι διεθνείς οργανισμοί στον κυβερνοχώρο καλούν τους οργανισμούς και τους παρόχους DNS να μετριάσουν την τεχνική αποφυγής του εγκλήματος “γρήγορης ροής” που χρησιμοποιούνται από τους ηθοποιούς απειλών που χρηματοδοτούνται από το κράτος και οι συμμορίες ransomware.
Παρόλο που η τεχνική δεν είναι νέα, η αποτελεσματικότητά της έχει τεκμηριωθεί και αποδεικνύεται επανειλημμένα σε πραγματικές κυβερνοεπίνες.
Πόσο γρήγορη ροή βοηθά με τη φοροδιαφυγή
Η γρήγορη ροή είναι μια τεχνική DNS που χρησιμοποιείται για την αποφυγή της ανίχνευσης και τη διατήρηση της ανθεκτικής υποδομής που χρησιμοποιείται για την εντολή και τον έλεγχο (C2), το phishing και την παράδοση κακόβουλου λογισμικού.
Περιλαμβάνει ταχέως μεταβαλλόμενα αρχεία DNS (διευθύνσεις IP ή/και διακομιστές ονομάτων), καθιστώντας δύσκολο για τους υπερασπιστές να εντοπίσουν την πηγή κακόβουλης δραστηριότητας και να το εμποδίσουν.
Συχνά τροφοδοτείται από botnets που σχηματίζονται από μεγάλα δίκτυα συμβιβασμένων συστημάτων που δρουν ως πληρεξούσια ή αναμεταδίδονται για να διευκολύνουν αυτούς τους γρήγορους διακόπτες.
CISA’s δελτίο Επισημαίνει δύο κύριους τύπους τεχνικής, δηλαδή μεμονωμένη ροή και διπλή ροή.
Όταν χρησιμοποιείτε μεμονωμένη ροή, οι επιτιθέμενοι θα περιστρέφουν συχνά τις διευθύνσεις IP που σχετίζονται με ένα όνομα τομέα σε απαντήσεις DNS.
Με τη διπλή ροή, εκτός από τις περιστρεφόμενες IPs για τον τομέα, οι ίδιοι οι διακομιστές ονόματος DNS αλλάζουν επίσης γρήγορα, προσθέτοντας ένα επιπλέον στρώμα abfuscation για να καταστούν οι προσπάθειες κατάπαυσης ακόμη πιο δύσκολες.
Πηγή: CISA
Η CISA αναφέρει ότι η γρήγορη ροή χρησιμοποιείται ευρέως από απειλούς ηθοποιούς όλων των επιπέδων, από τους κυβερνητικούς εγκληματίες χαμηλού επιπέδου έως τους εξαιρετικά εξελιγμένους εθνικούς ηθοποιούς.
Ο οργανισμός υπογραμμίζει τις περιπτώσεις Gamaredon, Hive Ransomware, Nefilim Ransomware και Bulletproof Hosting Service Providers, όλοι χρησιμοποιούν γρήγορη ροή για να αποφύγουν τις προσπάθειες επιβολής του νόμου και κατάργησης που θα διαταράξουν τις δραστηριότητές τους.
Συστάσεις CISA
Η CISA έχει καταχωρίσει πολλαπλά μέτρα για να βοηθήσει στην ανίχνευση και στη διακοπή της γρήγορης ροής και να μετριάσει τη δραστηριότητα που διευκολύνεται από την τεχνική φοροδιαφυγής.
Οι προτεινόμενες τεχνικές ανίχνευσης συνοψίζονται ως εξής:
- Αναλύστε τα αρχεία καταγραφής DNS για συχνές περιστροφές διευθύνσεων IP, χαμηλές τιμές TTL, υψηλή εντροπία IP και γεωγραφικά ασυνεπείς αναλύσεις.
- Ενσωματώστε τις υπηρεσίες εξωτερικών απειλών και τις υπηρεσίες DNS/IP φήμης σε τείχη προστασίας, SIEMS και DNS Resolvers για να σηματοδοτήσουν γνωστούς τομείς γρήγορης ροής και κακόβουλες υποδομές.
- Χρησιμοποιήστε τα δεδομένα ροής δικτύου και την παρακολούθηση της κυκλοφορίας DNS για να ανιχνεύσετε μεγάλους όγκους εξερχόμενων ερωτημάτων ή συνδέσεων σε πολυάριθμες IPs σε σύντομες περιόδους.
- Προσδιορίστε ύποπτους τομείς ή μηνύματα ηλεκτρονικού ταχυδρομείου και διασταυρούμενη αναφορά στις ανωμαλίες DNS για την ανίχνευση καμπανιών χρησιμοποιώντας γρήγορη ροή για την υποστήριξη του ηλεκτρονικού ψαρέματος, της παράδοσης κακόβουλου λογισμικού ή της επικοινωνίας C2.
- Εφαρμογή αλγορίθμων ανίχνευσης ειδικών για τον οργανισμό που βασίζονται στην ιστορική συμπεριφορά DNS και τις βασικές γραμμές του δικτύου, βελτιώνοντας την ακρίβεια ανίχνευσης έναντι των γενικών κανόνων.
Για τον μετριασμό, η CISA συνιστά τη χρήση λιστών DNS/IP και κανόνων τείχους προστασίας για να εμποδίσει την πρόσβαση σε γρήγορη ροή υποδομής και, όπου είναι δυνατόν,, η κυκλοφορία καταβόθρων σε εσωτερικούς διακομιστές για περαιτέρω ανάλυση.
Χρησιμοποιώντας τη βαθμολόγηση της φήμης για την αποκλεισμό της κυκλοφορίας, την εφαρμογή της κεντρικής καταγραφής και την προειδοποίηση σε πραγματικό χρόνο για ανωμαλίες DNS και τη συμμετοχή σε δίκτυα ανταλλαγής πληροφοριών.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
