一位匿名读者引用了 Ars Technica 的一份报告:国家安全局警告称,敌对民族国家和出于经济动机的勒索软件团体正在使用一种技术来隐藏其行动,这对关键基础设施和国家安全构成了威胁。该技术被称为快速通量。它允许威胁行为者运营的去中心化网络隐藏其基础设施,并在原本会成功的攻击尝试中幸存下来。 Fast Flux 的工作原理是循环访问这些僵尸网络用于连接互联网的一系列 IP 地址和域名。在某些情况下,IP 和域名每隔一两天就会发生变化;在其他情况下,它们几乎每小时都会变化。不断的变化使隔离基础设施真正来源的任务变得更加复杂。它还提供冗余。当防御者封锁一个地址或域时,新的地址或域已经被分配。美国国家安全局、联邦调查局以及加拿大、澳大利亚和新西兰的同行周四警告说:“这种技术对国家安全构成重大威胁,使恶意网络行为者能够持续逃避检测。” “恶意网络行为者,包括网络犯罪分子和民族国家行为者,通过快速改变域名系统 (DNS) 记录,利用快速通量来混淆恶意服务器的位置。此外,他们还可以创建有弹性、高度可用的命令和控制 (C2) 基础设施,隐藏其后续的恶意操作。”公告中描述了快速通量的两种变体:单通量和双通量。单通量涉及使用 DNS A (IPv4) 或 AAAA (IPv6) 记录将单个域映射到 IP 地址循环池。这种持续的循环使得防御者很难跟踪或阻止相关的恶意服务器,因为地址经常变化,但域名保持一致。 Double Flux 更进一步,还轮换 DNS 名称服务器本身。除了更改域的 IP 地址之外,它还使用 NS(名称服务器)和 CNAME(规范名称)记录循环遍历名称服务器。这增加了一层额外的混乱和弹性,使删除工作变得更加复杂。 “实现这一目标的一个关键方法是使用通配符 DNS 记录,”Ars 指出。 “这些记录定义了域名系统中的区域,将域映射到 IP 地址。通配符会导致 DNS 查找不存在的子域,特别是通过绑定用于指定邮件服务器的 MX(邮件交换)记录。结果是将攻击者 IP 分配给恶意.example.com 等子域,即使它不存在。”这两种方法通常都依赖于充当代理的受感染设备的大型僵尸网络,这使得防御者很难追踪或破坏恶意活动。
在 Slashdot 上阅读这个故事的更多内容。