执行摘要

许多网络在检测和阻止名为“快速通量”的恶意技术方面存在防御缺口。该技术对国家网络安全构成重大威胁，使恶意网络行为者能够持续规避检测。网络犯罪分子和国家资助的行为者通过快速变更域名系统（DNS）记录来隐藏恶意服务器位置，同时建立弹性且高可用的命令与控制（C2）基础设施，掩盖后续恶意操作。这种快速变化的架构使得追踪和阻断使用快速通量的恶意活动变得更加困难。

美国国家安全局（NSA）、网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、澳大利亚信号局网络安全中心（ASD’s ACSC）、加拿大网络安全中心（CCCS）和新西兰国家网络安全中心（NCSC-NZ）联合发布此网络安全公告，旨在提醒组织、互联网服务提供商（ISP）及网络安全服务提供商关注快速通量恶意活动带来的持续威胁。本公告鼓励服务提供商，特别是防护性DNS（PDNS）提供商，采取积极措施开发准确、可靠、及时的快速通量检测分析与阻断能力，以帮助客户应对此威胁。公告还提供了通过结合DNS分析、网络监控和威胁情报的多层次方法检测和缓解恶意快速流量的指导。

撰写机构建议所有利益相关方——包括政府和提供商——协作开发并实施可扩展的解决方案，以弥补网络防御中针对恶意快速通量活动的持续缺口。

技术细节

当恶意网络行为者入侵设备和网络时，其使用的恶意软件需“回传”状态更新并接收指令。为降低被网络防御者检测的风险，恶意行为者使用动态解析技术（如快速通量）使其通信更难被识别和阻断。

快速通量是一种基于域名的技术，其特征是与单个域名关联的DNS记录（如IP地址）快速变更。

单通量与双通量

恶意网络行为者使用两种常见的快速通量变体进行操作：

1. 单通量：单个域名关联大量IP地址，并在DNS响应中频繁轮换。这种设置确保如果一个IP地址被阻断或关闭，域名仍可通过其他IP地址访问。

2. 双通量：除了像单通量那样快速变更IP地址外，负责解析域名的DNS名称服务器也频繁变更。这为恶意域名提供了额外的冗余和匿名层。双通量技术已被观察到使用名称服务器（NS）和规范名称（CNAME）DNS记录。

这两种技术均利用大量受感染主机（通常为互联网上的僵尸网络）作为代理或中继点，使网络防御者难以识别恶意流量并阻断或对恶意基础设施采取法律强制关闭措施。

多个恶意网络行为者已被报告使用快速通量技术隐藏C2通道并保持操作，例如：

• 防弹托管（BPH）服务提供无视或规避执法请求和滥用通知的互联网托管，这些提供商托管恶意内容和活动，同时为恶意行为者提供匿名性。部分BPH公司还提供快速通量服务，帮助恶意行为者维持连接并提升恶意基础设施的可靠性。
• 快速通量已被用于Hive和Nefilim勒索软件攻击。
• Gamaredon使用快速通量限制IP阻断的有效性。

快速通量网络为恶意行为者带来的关键优势包括：

• 增强弹性：快速轮换僵尸网络设备使得执法或滥用通知难以快速处理变更并中断其服务。
• 使IP阻断失效：IP地址的快速更迭使得IP阻断失去意义，因为每个IP地址在被阻断时已不再使用。
• 匿名性：调查人员难以通过快速通量网络追踪恶意内容至源头，因为恶意行为者的C2僵尸网络在调查过程中不断变更关联IP地址。

其他恶意用途

快速通量不仅用于维持C2通信，还在网络钓鱼活动中发挥重要作用，使社会工程网站更难被阻断或关闭。网络钓鱼通常是更复杂网络入侵的第一步，用于诱骗受害者泄露敏感信息（如登录密码、信用卡号和个人数据），也可用于分发恶意软件或利用系统漏洞。同样，快速通量被用于维持网络犯罪论坛和市场的高可用性，使其能够抵抗执法关闭努力。

部分BPH提供商将快速通量作为服务差异化点进行推广，以提升客户恶意活动的有效性。例如，一家BPH提供商在暗网论坛上发布称，其通过服务管理面板轻松启用快速通量功能，保护客户不被加入Spamhaus阻止列表。客户仅需添加“虚拟服务器接口”，即可自动将传入查询重定向至主机服务器。这样做后，仅虚拟服务器接口被报告滥用并加入Spamhaus阻止列表，而BPH客户的服务器保持“清洁”且未被阻断。

该BPH提供商进一步解释，除C2外，许多恶意活动（包括僵尸网络管理器、虚假商店、凭据窃取器、病毒、垃圾邮件发送器等）均可使用快速通量避免识别和阻断。

另一家提供快速通量服务的BPH提供商广告称，其自动更新名称服务器以防止客户域名被阻断。此外，该提供商还推广其为每个客户使用独立的IP地址池，并提供全球分散的域名注册以提升可靠性。

检测技术

撰写机构建议ISP和网络安全服务提供商（特别是PDNS提供商）与客户协调，采用以下技术实施多层次方法以辅助检测快速通量活动。然而，快速检测恶意快速通量活动并将其与合法活动区分开，仍是开发准确、可靠、及时的快速通量检测分析所面临的持续挑战。

1. 利用威胁情报源和信誉服务识别已知快速通量域名及相关IP地址，例如在边界防火墙、DNS解析器和/或SIEM解决方案中。
2. 实施异常检测系统分析DNS查询日志，识别在DNS响应中表现出高熵值或IP多样性以及频繁IP地址轮换的域名。快速通量域名通常每天循环使用数十或数百个IP地址。
3. 分析DNS记录中的生存时间（TTL）值。快速通量域名通常具有异常低的TTL值。典型的快速通量域名可能每3至5分钟变更一次IP地址。
4. 检查DNS解析的地理位置一致性。与快速通量关联的恶意域名通常产生大量流量，且IP地理位置信息不一致。
5. 使用流数据识别在短时间内与大量不同IP地址的大规模通信。
6. 开发快速通量检测算法识别偏离常规网络DNS行为的异常流量模式。
7. 监控网络钓鱼活动迹象（如可疑电子邮件、网站或链接），并将其与快速通量活动关联。快速通量可能被用于快速传播网络钓鱼活动，并在阻断尝试后保持网络钓鱼网站在线。
8. 实施客户透明度并共享检测到的快速通量活动信息，确保在确认存在恶意活动后及时提醒客户。

缓解措施

所有组织

为防御快速通量，政府和关键基础设施组织应与其互联网服务提供商、网络安全服务提供商和/或防护性DNS服务协调，利用准确、可靠、及时的快速通量检测分析实施以下缓解措施。

1. DNS和IP阻断与沉洞恶意快速通量域名和IP地址：

   • 通过不可路由的DNS响应或防火墙规则阻断对使用快速通量的域名的访问。
   • 考虑对恶意域名进行沉洞，将来自这些域名的流量重定向至受控服务器以捕获和分析流量，帮助识别网络内受感染主机。
   • 阻断已知与恶意快速通量网络关联的IP地址。

2. 对启用快速通量的恶意活动进行信誉过滤：

   • 阻断与信誉不良的域名或IP地址的流量，特别是被识别为参与恶意快速通量活动的地址。

3. 增强监控和日志记录：

   • 增加DNS流量和网络通信的日志记录与监控，以识别新的或持续的快速通量活动。
   • 实施自动警报机制，以快速响应检测到的快速通量模式。
   • 参考ASD’s ACSC联合出版物《事件日志记录和威胁检测最佳实践》获取更多日志记录建议。

4. 协作防御与信息共享：

   • 与可信合作伙伴和威胁情报社区共享检测到的快速通量指标（如域名、IP地址），以增强集体防御能力。指标共享倡议的示例包括CISA的自动指标共享或基于行业的信息共享与分析中心（ISACs），以及澳大利亚的ASD网络威胁情报共享平台（CTIS）。
   • 参与公共和私人信息共享计划，以了解新兴的快速通量战术、技术和程序（TTPs）。定期协作尤为重要，因为这些域名的多数恶意活动在其初始使用后的几天内发生；因此，网络安全社区的早期发现和信息共享对于最小化此类恶意活动至关重要。

5. 网络钓鱼意识与培训：

   • 实施员工意识与培训计划，帮助人员识别并适当响应网络钓鱼尝试。
   • 制定政策与程序以管理和控制网络钓鱼事件，特别是那些由快速通量网络促成的事件。

网络防御者

撰写机构鼓励组织使用能够检测和阻断快速通量的网络安全和PDNS服务。通过利用能够检测快速通量并实施DNS和IP阻断、沉洞、信誉过滤、增强监控、日志记录和协作防御恶意快速通量域名及IP地址能力的提供商，组织可以缓解与快速通量相关的许多风险并维持更安全的环境。

然而，部分PDNS提供商可能无法检测和阻断恶意快速通量活动。组织不应假设其PDNS提供商会自动阻断恶意快速通量活动，并应联系其PDNS提供商验证对此特定网络威胁的覆盖范围。

有关PDNS服务的更多信息，请参阅NSA和CISA 2021年关于选择防护性DNS服务的联合网络安全信息表。此外，NSA为国防工业基地（DIB）公司提供无偿网络安全服务，包括PDNS服务。CISA还为联邦民事执行分支（FCEB）机构提供防护性DNS服务。

结论

快速通量对网络安全构成持续威胁，其利用快速变化的基础设施掩盖恶意活动。通过实施强大的检测和缓解策略，组织可以显著降低由快速通量启用威胁导致的入侵风险。

撰写机构强烈建议组织与其网络安全提供商合作，制定多层次方法以检测和缓解恶意快速通量操作。利用能够检测和阻断启用快速通量的恶意网络活动的服务，可以显著增强组织的网络防御能力。