.
Uma técnica que os estados-nação hostis e os grupos de ransomware motivados financeiramente estão usando para ocultar suas operações representa uma ameaça à infraestrutura crítica e à segurança nacional, alertou a Agência de Segurança Nacional.
A técnica é conhecida como fluxo rápido. Ele permite que as redes descentralizadas operadas por atores de ameaças ocultem sua infraestrutura e sobrevivam a tentativas de queda que de outra forma teriam sucesso. O Fast Flux funciona pedalando através de uma variedade de endereços IP e nomes de domínio que esses botnets usam para se conectar à Internet. Em alguns casos, os nomes de IPS e domínio mudam todos os dias ou dois; Em outros casos, eles mudam quase a cada hora. O fluxo constante complica a tarefa de isolar a verdadeira origem da infraestrutura. Também fornece redundância. Quando os defensores bloqueiam um endereço ou domínio, os novos já foram atribuídos.
Uma ameaça significativa
“Esta técnica representa uma ameaça significativa à segurança nacional, permitindo que atores cibernéticos maliciosos fugissem consistentemente na detecção”, a NSA, o FBI e seus colegas do Canadá, Austrália e Nova Zelândia avisado na quinta -feira. “Os atores cibernéticos maliciosos, incluindo criminosos cibernéticos e atores do Estado-nação, usam fluxo rápido para ofuscar os locais de servidores maliciosos, registrando os registros do Sistema de Nomes de Domínio (DNS) em rápida mudança.
Um meio -chave para alcançar isso é o uso de Records do Wild Cardard DNS. Esses registros definem zonas dentro do sistema de nomes de domínio, que mapeiam domínios para endereços IP. Os curingas causam pesquisas DNS para subdomínios que não existem, especificamente vinculando registros MX (Mail Exchange) usados para designar servidores de email. O resultado é a atribuição de um IP do invasor a um subdomínio como malicioso.example.com, mesmo que não exista.
.
