CISA, FBI, NSA ve uluslararası siber güvenlik ajansları, kuruluşları ve DNS sağlayıcılarını devlet destekli tehdit aktörleri ve fidye yazılımı çeteleri tarafından kullanılan "hızlı akı" siber suç kaçırma tekniğini azaltmaya çağırıyor.
Teknik yeni olmasa da, gerçek siber saldırılarda etkinliği tekrar tekrar belgelenmiştir ve kanıtlanmıştır.
Hızlı akı, komuta ve kontrol (C2), kimlik avı ve kötü amaçlı yazılım sunumu için kullanılan esnek altyapı algılamak ve korumak için kullanılan bir DNS tekniğidir.
DNS kayıtlarını hızla değiştirir (IP adresleri ve/veya ad sunucuları), savunucuların kötü niyetli etkinliklerin kaynağını izlemesini ve engellemesini zorlaştırır.
Genellikle, bu hızlı anahtarları kolaylaştırmak için vekil veya röleler görevi gören büyük tehlikeye atılmış sistem ağları tarafından oluşturulan botnetlerle güçlendirilir.
CISA'nın bülteni, tek bir akı ve çift akı olmak üzere iki ana tekniğin vurgulanır.
Tek akıyı kullanırken, saldırganlar DNS yanıtlarında bir etki alanı adıyla ilişkili IP adreslerini sık sık döndürür.
Çift akı ile, alan adı için IP'leri döndürmenin yanı sıra, DNS adı sunucularının kendileri de hızla değişir ve yayından kaldırma çabalarını daha da zorlaştırmak için ekstra bir gizleme katmanı ekler.
Cisa, hızlı akının, düşük katmanlı siber suçlardan son derece sofistike ulus-devlet aktörlerine kadar her seviyedeki tehdit aktörleri tarafından yaygın olarak kullanıldığını söylüyor.
Ajans, Gamaredon, Hive Fidye Yazılımı, Nefilim fidye yazılımı ve kurşun geçirmez barındırma hizmet sağlayıcıları, hepsi de operasyonlarını bozacak kolluk kuvvetlerinden ve yayından kaldırma çabalarından kaçınmak için hızlı akı kullanıyor.
CISA, hızlı akıyı tespit etmeye ve durdurmaya ve kaçırma tekniği ile kolaylaştırılan aktiviteyi azaltmaya yardımcı olmak için birden fazla önlem listeledi.
Önerilen algılama teknikleri aşağıdaki gibi özetlenmiştir:
Azaltma için CISA, hızlı akı altyapısına erişimi engellemek için DNS/IP blok listeleri ve güvenlik duvarı kurallarının kullanılmasını ve mümkünse daha fazla analiz için dahili sunuculara düden trafiğini kullanmanızı önerir.
Trafik engelleme için itibar puanlamasını kullanmak, merkezi günlüğe kaydetme ve DNS anomalileri için gerçek zamanlı uyarma uygulamak ve bilgi paylaşım ağlarına katılmak da teşvik edilmektedir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
CISA Acil Durum Direktifi: Ivanti sıfır günlerini hemen azaltın
Yeni Atlantis AIO platformu 140 hizmette kimlik bilgisi doldurmayı otomatikleştiriyor
Polis, Afrika siber suç halkalarına bağlı 300 şüpheliyi tutukladı
VEXTRIO TDS: 70.000 alanlı büyük bir siber suç operasyonu içinde
Cisa, saldırılarda aktif olarak sömürülen nakivo yedek kusurunu etiketler
Kaynak: Bleeping Computer