Fast Flux: Eine Bedrohung für die nationale Sicherheit

Viele Netzwerke weisen eine Lücke in ihrer Abwehr auf, wenn es darum geht, eine als „Fast Flux“ bekannte bösartige Technik zu erkennen und zu blockieren. Diese Technik stellt eine erhebliche Bedrohung für die nationale Sicherheit dar, da sie es böswilligen Cyberakteuren ermöglicht, sich der Entdeckung konsequent zu entziehen. Böswillige Cyberakteure, darunter Cyberkriminelle und Akteure von Nationalstaaten, nutzen Fast Flux, um die Standorte böswilliger Server durch schnelle Änderungen der DNS-Einträge (Domain Name System) zu verschleiern. Darüber hinaus können sie eine belastbare, hochverfügbare C2-Infrastruktur (Command and Control) schaffen, die ihre nachfolgenden böswilligen Operationen verbirgt. Diese belastbare und sich schnell verändernde Infrastruktur erschwert die Verfolgung und Blockierung böswilliger Aktivitäten, die Fast Flux nutzen.

Die National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI), das Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), das Canadian Centre for Cyber Security (CCCS) und das New Zealand National Cyber Security Centre (NCSC-NZ) veröffentlichen diesen gemeinsamen Cybersicherheitshinweis (CSA), um Organisationen, Internetdienstanbieter (ISPs) und Cybersicherheitsdienstleistern vor der anhaltenden Bedrohung durch Fast-Flux-aktivierte böswillige Aktivitäten als Sicherheitslücke in vielen Netzwerken zu warnen. Diese Empfehlung soll Dienstleister, insbesondere Anbieter von Protective DNS (PDNS), dazu ermutigen, diese Bedrohung durch proaktive Maßnahmen zur Entwicklung genauer, zuverlässiger und zeitnaher Fast-Flux-Erkennungsanalysen und Blockierungsfunktionen für ihre Kunden zu mindern. Dieser CSA bietet auch Anleitungen zur Erkennung und Eindämmung von Elementen böswilliger Fast-Flux-Angriffe durch einen mehrschichtigen Ansatz, der DNS-Analyse, Netzwerküberwachung und Bedrohungsinformationen kombiniert.

Die Autoren empfehlen allen Beteiligten – Regierungen und Anbietern –, zusammenzuarbeiten, um skalierbare Lösungen zu entwickeln und umzusetzen, um diese anhaltende Lücke in der Netzwerkverteidigung gegen böswillige Fast-Flux-Aktivitäten zu schließen.

Laden Sie die PDF-Version dieses Berichts herunter: Fast Flux: A National Security Threat (PDF, 841 KB).

Einfacher und doppelter Flux

Böswillige Cyberakteure verwenden zwei gängige Varianten des schnellen Flux, um Operationen durchzuführen:

1. Einfacher Flux: Ein einzelner Domainname ist mit zahlreichen IP-Adressen verknüpft, die in DNS-Antworten häufig rotiert werden. Diese Konfiguration stellt sicher, dass die Domain über die anderen IP-Adressen weiterhin zugänglich bleibt, wenn eine IP-Adresse blockiert oder abgeschaltet wird. Abbildung 1 veranschaulicht diese Technik.

Hinweis: Dieses Verhalten kann auch für legitime Zwecke aus Leistungsgründen in dynamischen Hosting-Umgebungen verwendet werden, z. B. in Content-Delivery-Netzwerken und Load Balancern.

2. Double Flux: Zusätzlich zum schnellen Wechsel der IP-Adressen wie bei Single Flux wechseln auch die DNS-Namensserver, die für die Auflösung der Domain verantwortlich sind, häufig. Dies bietet eine zusätzliche Ebene der Redundanz und Anonymität für bösartige Domains. Double Flux-Techniken wurden sowohl bei der Verwendung von DNS-Einträgen für Namensserver (NS) als auch für kanonische Namen (CNAME) beobachtet. Siehe Abbildung 2 als Beispiel zur Veranschaulichung dieser Technik.

Beide Techniken nutzen eine große Anzahl kompromittierter Hosts, in der Regel als Botnet aus dem gesamten Internet, das als Proxy oder Relais fungiert, was es für Netzwerkverteidiger schwierig macht, den bösartigen Datenverkehr zu identifizieren und die bösartige Infrastruktur zu blockieren oder sie auf rechtmäßige Weise zu entfernen. Es wurde berichtet, dass zahlreiche böswillige Cyberakteure die Fast-Flux-Technik verwenden, um C2-Kanäle zu verbergen und einsatzfähig zu bleiben.

Weitere böswillige Verwendungszwecke

Fast Flux wird nicht nur zur Aufrechterhaltung der C2-Kommunikation verwendet, sondern kann auch eine wichtige Rolle bei Phishing-Kampagnen spielen, um Social-Engineering-Websites schwerer blockieren oder entfernen zu können. Phishing ist oft der erste Schritt in einer größeren und komplexeren Cyber-Kompromittierung. Phishing wird in der Regel eingesetzt, um Opfer zur Preisgabe sensibler Informationen (wie Anmeldekennwörter, Kreditkartennummern und persönliche Daten) zu verleiten, kann aber auch zur Verbreitung von Malware oder zur Ausnutzung von Systemschwachstellen verwendet werden. In ähnlicher Weise wird Fast Flux zur Aufrechterhaltung der hohen Verfügbarkeit von Foren und Marktplätzen für Cyberkriminelle eingesetzt, wodurch diese gegen die Bemühungen der Strafverfolgungsbehörden, sie auszuschalten, resistent werden.

Einige BPH-Anbieter bewerben Fast Flux als ein Unterscheidungsmerkmal ihres Dienstes, das die Effektivität der böswilligen Aktivitäten ihrer Kunden erhöht. So hat beispielsweise ein BPH-Anbieter in einem Dark-Web-Forum gepostet, dass er seine Kunden davor schützt, auf Spamhaus-Blocklisten gesetzt zu werden, indem er die Fast-Flux-Funktion einfach über das Service-Management-Panel aktiviert (siehe Abbildung 3). Ein Kunde muss lediglich eine „Dummy-Server-Schnittstelle“ hinzufügen, die eingehende Anfragen automatisch an den Host-Server weiterleitet. Auf diese Weise werden nur die Dummy-Server-Schnittstellen wegen Missbrauchs gemeldet und auf die Spamhaus-Blockierliste gesetzt, während die Server der BPH-Kunden „sauber“ und nicht blockiert bleiben.

Der BPH-Anbieter erklärte weiter, dass zahlreiche böswillige Aktivitäten jenseits von C2, darunter Botnet-Manager, Fake-Shops, Diebe von Zugangsdaten, Viren, Spam-Mailer und andere, Fast Flux nutzen könnten, um eine Identifizierung und Blockierung zu vermeiden.

Ein weiteres Beispiel ist ein BPH-Anbieter, der Fast Flux als Service anbietet und damit wirbt, dass er Nameserver automatisch aktualisiert, um die Sperrung von Kundendomains zu verhindern. Darüber hinaus wirbt dieser Anbieter für die Verwendung separater Pools von IP-Adressen für jeden Kunden und bietet weltweit verteilte Domainregistrierungen für eine höhere Zuverlässigkeit an.

Erkennungstechniken

Die Autorisierungsstellen empfehlen Internetdienstanbietern und Anbietern von Cybersicherheitsdiensten, insbesondere PDNS-Anbietern, in Abstimmung mit den Kunden einen mehrschichtigen Ansatz zu implementieren, bei dem die folgenden Techniken zur Erkennung von Fast-Flux-Aktivitäten eingesetzt werden [CISA CPG 3.A]. Die schnelle Erkennung böswilliger Fast-Flux-Aktivitäten und deren Unterscheidung von legitimen Aktivitäten bleibt jedoch eine ständige Herausforderung bei der Entwicklung genauer, zuverlässiger und zeitnaher Fast-Flux-Erkennungsanalysen.

1. Nutzen Sie Feeds für Bedrohungsdaten und Reputationsdienste, um bekannte Fast-Flux-Domains und zugehörige IP-Adressen zu identifizieren, z. B. in Firewalls, DNS-Resolvern und/oder SIEM-Lösungen.

2. Implementieren Sie Systeme zur Erkennung von Anomalien für DNS-Abfrageprotokolle, um Domains zu identifizieren, die eine hohe Entropie oder IP-Vielfalt in DNS-Antworten und häufige IP-Adresswechsel aufweisen. Fast-Flux-Domains durchlaufen häufig Dutzende oder Hunderte von IP-Adressen pro Tag.

3. Analysieren Sie die TTL-Werte (Time-to-Live) in DNS-Einträgen. Fast-Flux-Domains haben oft ungewöhnlich niedrige TTL-Werte. Eine typische Fast-Flux-Domain kann ihre IP-Adresse alle 3 bis 5 Minuten ändern.

4. Überprüfen Sie die DNS-Auflösung auf inkonsistente Geolokalisierung. Bösartige Domains, die mit Fast Flux in Verbindung gebracht werden, erzeugen in der Regel ein hohes Verkehrsaufkommen mit inkonsistenten IP-Geolokalisierungsinformationen.

5. Verwenden Sie Flow-Daten, um umfangreiche Kommunikation mit zahlreichen verschiedenen IP-Adressen über kurze Zeiträume zu identifizieren.

6. Entwicklung von Algorithmen zur Erkennung von Fast Flux, um anomale Datenverkehrsmuster zu identifizieren, die vom üblichen DNS-Verhalten des Netzwerks abweichen.

7. Überwachung auf Anzeichen von Phishing-Aktivitäten, wie verdächtige E-Mails, Websites oder Links, und Korrelation dieser mit Fast-Flux-Aktivitäten. Fast Flux kann zur schnellen Verbreitung von Phishing-Kampagnen und zur Aufrechterhaltung von Phishing-Websites im Internet trotz Blockierungsversuchen verwendet werden.

8. Implementierung von Kundentransparenz und Weitergabe von Informationen über erkannte Fast-Flux-Aktivitäten, um sicherzustellen, dass Kunden umgehend benachrichtigt werden, sobald böswillige Aktivitäten bestätigt werden.

Abwehrmaßnahmen

Alle Organisationen

Zur Abwehr von Fast Flux sollten sich Regierungs- und kritische Infrastruktureinrichtungen mit ihren Internetdienstanbietern, Anbietern von Cybersicherheitsdiensten und/oder ihren Protective-DNS-Diensten abstimmen, um die folgenden Abwehrmaßnahmen unter Verwendung genauer, zuverlässiger und zeitnaher Fast-Flux-Erkennungsanalysen umzusetzen.

Hinweis: Einige legitime Aktivitäten, wie z. B. das übliche Verhalten von Content Delivery Networks (CDN), können wie böswillige Fast-Flux-Aktivitäten aussehen. Schutzdienste für DNS, Dienstanbieter und Netzwerkverteidiger sollten angemessene Anstrengungen unternehmen, wie z. B. die Aufnahme erwarteter CDN-Dienste in eine Positivliste, um zu vermeiden, dass legitime Inhalte blockiert oder behindert werden.

1. DNS- und IP-Blockierung und Sinkholing von bösartigen Fast-Flux-Domains und IP-Adressen

• Blockieren Sie den Zugriff auf Domains, die als Fast-Flux-Nutzer identifiziert wurden, durch nicht-routbare DNS-Antworten oder Firewall-Regeln.
• Erwägen Sie, die schädlichen Domains in ein Sinkhole umzuleiten und den Datenverkehr von diesen Domains auf einen kontrollierten Server umzuleiten, um den Datenverkehr zu erfassen und zu analysieren und so zur Identifizierung kompromittierter Hosts innerhalb des Netzwerks beizutragen.
• Blockieren Sie IP-Adressen, die bekanntermaßen mit schädlichen Fast-Flux-Netzwerken in Verbindung stehen.

2. Reputationsfilterung von schädlichen Aktivitäten, die durch Fast Flux ermöglicht werden

• Blockieren Sie den Datenverkehr zu und von Domains oder IP-Adressen mit schlechtem Ruf, insbesondere solchen, die als an böswilligen Fast-Flux-Aktivitäten beteiligt identifiziert wurden.

3. Verbesserte Überwachung und Protokollierung

• Erhöhen Sie die Protokollierung und Überwachung des DNS-Datenverkehrs und der Netzwerkkommunikation, um neue oder laufende Fast-Flux-Aktivitäten zu identifizieren.
• Implementieren Sie automatische Warnmechanismen, um schnell auf erkannte Fast-Flux-Muster reagieren zu können.
• Weitere Empfehlungen zur Protokollierung finden Sie in der gemeinsamen Veröffentlichung von ASD und ACSC, Best Practices für die Ereignisprotokollierung und Bedrohungserkennung

4. Gemeinsame Verteidigung und Informationsaustausch

• Teilen Sie erkannte Fast-Flux-Indikatoren (z. B. Domains, IP-Adressen) mit vertrauenswürdigen Partnern und Bedrohungsdaten-Gemeinschaften, um die kollektiven Verteidigungsbemühungen zu verbessern. Beispiele für Initiativen zum Austausch von Indikatoren sind das automatisierte Indikator-Sharing von CISA oder sektorbezogene Informationsaustausch- und Analysezentren (ISACs) und die Cyber Threat Intelligence Sharing Platform (CTIS) von ASD in Australien.

• Nehmen Sie an öffentlichen und privaten Programmen zum Informationsaustausch teil, um über neu aufkommende Taktiken, Techniken und Verfahren (TTPs) auf dem Laufenden zu bleiben. Eine regelmäßige Zusammenarbeit ist besonders wichtig, da die meisten böswilligen Aktivitäten in diesen Bereichen innerhalb weniger Tage nach ihrer ersten Nutzung stattfinden. Daher sind eine frühzeitige Entdeckung und ein frühzeitiger Informationsaustausch durch die Cybersicherheitsgemeinschaft von entscheidender Bedeutung, um solche böswilligen Aktivitäten zu minimieren. [8]

5. Phishing-Sensibilisierung und -Schulung

• Führen Sie Sensibilisierungs- und Schulungsprogramme für Mitarbeiter durch, um das Personal dabei zu unterstützen, Phishing-Versuche zu erkennen und angemessen darauf zu reagieren.
• Entwickeln Sie Richtlinien und Verfahren zur Verwaltung und Eindämmung von Phishing-Vorfällen, insbesondere solchen, die durch Fast-Flux-Netzwerke erleichtert werden.
• Weitere Informationen zur Eindämmung von Phishing finden Sie in der gemeinsamen Phishing-Anleitung: Den Angriffszyklus in Phase 1 stoppen.

Netzwerkverteidiger

Die Urheber der Richtlinien empfehlen Organisationen, Cybersicherheits- und PDNS-Dienste zu nutzen, die Fast Flux erkennen und blockieren. Durch die Nutzung von Anbietern, die Fast Flux erkennen und Funktionen für DNS- und IP-Blockierung, Sinkholing, Reputationsfilterung, erweiterte Überwachung, Protokollierung und gemeinsame Verteidigung bösartiger Fast-Flux-Domains und IP-Adressen implementieren, können Organisationen viele mit Fast Flux verbundene Risiken mindern und eine sicherere Umgebung aufrechterhalten.

Einige PDNS-Anbieter erkennen und blockieren jedoch möglicherweise keine böswilligen Fast-Flux-Aktivitäten. Organisationen sollten nicht davon ausgehen, dass ihre PDNS-Anbieter böswillige Fast-Flux-Aktivitäten automatisch blockieren, und sie sollten sich mit ihren PDNS-Anbietern in Verbindung setzen, um die Abdeckung dieser spezifischen Cyber-Bedrohung zu überprüfen.

Weitere Informationen zu PDNS-Diensten finden Sie im gemeinsamen Cybersicherheits-Informationsblatt von NSA und CISA aus dem Jahr 2021 über die Auswahl eines schützenden DNS-Dienstes. [9] Darüber hinaus bietet die NSA Unternehmen der Defense Industrial Base (DIB) kostenlose Cybersicherheitsdienste an, darunter einen PDNS-Dienst. Weitere Informationen finden Sie in den DIB-Cybersicherheitsdiensten und dem Factsheet der NSA. CISA bietet auch einen Protective DNS-Dienst für Bundesbehörden der zivilen Exekutive (FCEB) an. Weitere Informationen finden Sie auf der Seite „Protective Domain Name System Resolver“ und im Factsheet von CISA.

Schlussfolgerung

Fast Flux stellt eine anhaltende Bedrohung für die Netzwerksicherheit dar, da es sich schnell verändernde Infrastrukturen zunutze macht, um böswillige Aktivitäten zu verschleiern. Durch die Umsetzung robuster Erkennungs- und Eindämmungsstrategien können Organisationen das Risiko einer Gefährdung durch Fast-Flux-fähige Bedrohungen erheblich reduzieren.

Die Autoritätsstellen empfehlen Organisationen nachdrücklich, ihre Cybersicherheitsanbieter mit der Entwicklung eines mehrschichtigen Ansatzes zur Erkennung und Eindämmung böswilliger Fast-Flux-Operationen zu beauftragen. Die Nutzung von Diensten, die böswillige Fast-Flux-fähige Cyberaktivitäten erkennen und blockieren, kann die Cyberabwehr einer Organisation erheblich stärken.

Haftungsausschluss

Die in diesem Dokument enthaltenen Informationen und Meinungen werden ohne Mängelgewähr und ohne jegliche Gewährleistungen oder Garantien bereitgestellt. Verweise auf bestimmte kommerzielle Produkte, Verfahren oder Dienstleistungen durch Handelsnamen, Markenzeichen, Hersteller oder anderweitig stellen keine Billigung, Empfehlung oder Bevorzugung durch die Regierung der Vereinigten Staaten dar und dieser Leitfaden darf nicht zu Werbe- oder Produktbewertungszwecken verwendet werden.

Zweck

Dieses Dokument wurde zur Unterstützung der Aufgaben der Autorisierungsbehörden für Cybersicherheit entwickelt, einschließlich ihrer Verantwortung, Bedrohungen zu identifizieren und zu verbreiten sowie Cybersicherheitsspezifikationen und -maßnahmen zu entwickeln und herauszugeben. Diese Informationen können weitreichend geteilt werden, um alle relevanten Interessengruppen zu erreichen.