CISA เตือนภัย พบแก๊งอาชญากรไซเบอร์ใช้เทคนิค Fast Flux เลี่ยง DNS 

CISA, FBI, NSA และหน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ระดับสากล ได้เริ่มประกาศแจ้งเตือนให้องค์กรและผู้ให้บริการ DNS เตรียมการเพื่อบรรเทาเหตุการณ์โจมตีด้วย Fast Flux เทคนิคการหลบเลี่ยง DNS เพื่อปิดบังตำแหน่งที่แท้จริงของ Server ที่เป็นอันตราย

Fast Flux คือเทคนิค DNS ที่ถูกนำไปใช้เพื่อหลบเลี่ยงการตรวจจับและการดูแลโครงสร้างพื้นฐานให้มีความยืดหยุ่นเพื่อทำให้ยากต่อการตรวจจับ โดยมักถูกใช้ในการทำ Command and Control (C2), Phishing รวมทั้งการส่ง Malware 

แม้ว่า Fast Flux ไม่ได้เป็นเทคนิคใหม่แต่อย่างใด หากแต่ดูเหมือนว่าจะเทคนิคนี้อาจจะกำลังถูกนำไปใช้โจมตีอยู่ในช่วงนี้ โดย CISA ได้ออกจดหมายข่าวออกมา ซึ่งได้ไฮไลต์ 2 ชนิดหลักในเทคนิคที่นิยมใช้งานคือ 

• Single Flux ผู้โจมตีจะมีการหมุน IP Address ที่เชื่อมโยงกับชื่อ Domain Name ใน DNS เป็นประจำ
• Double Flux นอกจากมีการหมุน IP Address แล้ว ยังมีในส่วนของ DNS Name Server ที่จะเปลี่ยนไปอย่างรวดเร็วอีกด้วย ซึ่งจะเพิ่มชั้นในการติดตามได้ยากขึ้นกว่าเดิม

ด้วยเหตุนี้ CISA จึงแนะนำวิธีการในหลากหลายรูปแบบเพื่อให้ช่วยในการตรวจจับและหยุดการทำ Fast Flux ผ่านเทคนิคต่าง ๆ อาทิ 

• การวิเคราะห์ DNS Log ที่มีการเปลี่ยน IP Address อยู่บ่อย ๆ หรือค่า TTL ต่ำ IP Entropy สูง
• เชื่อมโยงบริการ Threat หรือ DNS/IP ภายนอกที่มีชื่อเสียง เข้าไปใน Firewall, SIEM, DNS Resolver เพื่อระบุถึงโดเมนที่เป็น Fast Flux และโครงสร้างพื้นฐานที่ไม่ประสงค์ดี
• ใช้ Network Flow Data และ DNS Traffic Monitoring เพื่อตรวจจับปริมาณการส่ง Query ออกข้างนอกขนาดใหญ่หรือการเชื่อมโยงจำนวน IP ขนาดมหาศาลภายในกรอบเวลาอันสั้น

รายละเอียดอื่น ๆ สามารถอ่านได้ที่เว็บไซต์ CISA

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-warns-of-fast-flux-dns-evasion-used-by-cybercrime-gangs/