执行摘要
许多网络在检测和阻止名为“快速通量”的恶意技术方面存在防御缺口。该技术对国家安防构成重大威胁,使恶意网络行为者能够持续规避检测。恶意网络行为者(包括网络罪犯和国家资助的行为者)通过快速变更域名系统(DNS)记录来隐藏恶意服务器位置,并建立弹性、高可用的命令与控制(C2)基础设施,掩盖后续恶意操作。这种快速变化的弹性基础设施使得追踪和阻止使用快速通量的恶意活动更加困难。
美国国家安全局(NSA)、网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚信号局网络安全中心(ASD’s ACSC)、加拿大网络安全中心(CCCS)和新西兰国家网络安全中心(NCSC-NZ)联合发布此网络安全公告(CSA),警告组织、互联网服务提供商(ISP)和网络安全服务提供商,快速通量恶意活动是许多网络中的防御缺口。本公告旨在鼓励服务提供商,特别是保护性DNS(PDNS)提供商,采取积极措施为客户开发准确、可靠、及时的快速通量检测分析和拦截能力。此CSA还提供了通过结合DNS分析、网络监控和威胁情报的多层方法来检测和缓解恶意快速通量要素的指导。
撰写机构建议所有利益相关者——政府和提供商——合作开发并实施可扩展的解决方案,以弥补网络防御中针对恶意快速通量活动的这一持续缺口。
技术细节
当恶意网络行为者入侵设备和网络时,他们使用的恶意软件需要“回连”以发送状态更新并接收进一步指令。为降低被网络防御者检测的风险,恶意网络行为者使用动态解析技术,如快速通量,使其通信更不易被检测为恶意并被拦截。
快速通量指的是一种基于域名的技术,其特点是与单个域名关联的DNS记录(如IP地址)快速变化。
单通量和双通量
恶意网络行为者使用两种常见的快速通量变体进行操作:
-
单通量:单个域名关联到多个IP地址,这些地址在DNS响应中频繁轮换。这种设置确保如果一个IP地址被拦截或下线,域名仍可通过其他IP地址访问。
注意:此行为也可出于性能原因在动态托管环境中合法使用,例如内容分发网络和负载均衡器。
-
双通量:除了像单通量那样快速变更IP地址外,负责解析域名的DNS名称服务器也频繁变更。这为恶意域名提供了额外的冗余和匿名层。已观察到双通量技术同时使用名称服务器(NS)和规范名称(CNAME)DNS记录。
这两种技术都利用了大量受感染主机(通常作为来自互联网各处的僵尸网络)作为代理或中继点,使得网络防御者难以识别恶意流量并拦截或对恶意基础设施执行法律强制下线。
据报道,许多恶意网络行为者使用快速通量技术隐藏C2通道并保持运作。示例包括:
- 防弹托管(BPH)服务提供无视或规避执法请求和滥用通知的互联网托管。这些提供商托管恶意内容和活动,同时为恶意网络行为者提供匿名性。一些BPH公司还提供快速通量服务,帮助恶意网络行为者保持连接并提高其恶意基础设施的可靠性。
- 快速通量已被用于Hive和Nefilim勒索软件攻击。
- Gamaredon使用快速通量限制IP拦截的有效性。
快速通量网络对恶意网络行为者的主要优势包括:
- 增加弹性:由于快速通量网络通过僵尸网络设备快速轮换,执法或滥用通知难以快速处理变更并中断其服务。
- 使IP拦截无效:IP地址的快速更替使得IP拦截无关紧要,因为每个IP地址在被拦截时已不再使用。这使得犯罪分子能够保持弹性运作。
- 匿名性:调查人员通过快速通量网络追踪恶意内容回源面临挑战。这是因为恶意网络行为者的C2僵尸网络在调查过程中不断变更关联的IP地址。
其他恶意用途
快速通量不仅用于维持C2通信,还在网络钓鱼活动中发挥重要作用,使社会工程网站更难被拦截或下线。网络钓鱼通常是更大更复杂网络入侵的第一步,用于诱骗受害者泄露敏感信息(如登录密码、信用卡号码和个人数据),也可用于分发恶意软件或利用系统漏洞。同样,快速通量用于维持网络犯罪论坛和市场的高可用性,使其对执法下线努力具有弹性。
一些BPH提供商将快速通量作为服务差异化点进行推广,以提高其客户恶意活动的有效性。例如,一家BPH提供商在暗网论坛上发帖称,通过服务管理面板轻松启用快速通量功能,可保护客户不被添加到Spamhaus阻止列表中。客户只需添加一个“虚拟服务器接口”,即可自动将传入查询重定向到主机服务器。这样做后,只有虚拟服务器接口被报告滥用并添加到Spamhaus阻止列表,而BPH客户的服务器保持“清洁”且未被拦截。
该BPH提供商进一步解释说,除C2外的许多恶意活动,包括僵尸网络管理器、虚假商店、凭据窃取器、病毒、垃圾邮件发送器等,都可以使用快速通量来避免识别和拦截。
作为另一个例子,一家提供快速通量服务的BPH提供商广告称其自动更新名称服务器以防止客户域名被拦截。此外,该提供商还推广其为每个客户使用独立的IP地址池,并提供全球分散的域名注册以增加可靠性。
检测技术
撰写机构建议ISP和网络安全服务提供商,特别是PDNS提供商,与客户协调实施多层方法,使用以下技术帮助检测快速通量活动。然而,快速检测恶意快速通量活动并将其与合法活动区分开来,仍然是开发准确、可靠、及时的快速通量检测分析的一个持续挑战。
- 利用威胁情报源和信誉服务识别已知的快速通量域名和关联IP地址,例如在边界防火墙、DNS解析器和/或SIEM解决方案中。
- 实施异常检测系统分析DNS查询日志,识别在DNS响应中表现出高熵或IP多样性以及频繁IP地址轮换的域名。快速通量域名通常每天循环使用数十或数百个IP地址。
- 分析DNS记录中的生存时间(TTL)值。快速通量域名通常具有异常低的TTL值。典型的快速通量域名可能每3到5分钟更改其IP地址。
- 审查DNS解析的地理位置不一致性。与快速通量相关的恶意域名通常会产生流量大且IP地理位置信息不一致的流量。
- 使用流数据识别在短时间内与大量不同IP地址进行的大规模通信。
- 开发快速通量检测算法识别偏离通常网络DNS行为的异常流量模式。
- 监控网络钓鱼活动迹象,如可疑电子邮件、网站或链接,并将其与快速通量活动关联。快速通量可能用于快速传播网络钓鱼活动,并在尝试拦截后保持网络钓鱼网站在线。
- 实施客户透明度并共享检测到的快速通量活动信息,确保在确认存在恶意活动后及时提醒客户。
缓解措施
所有组织
为防御快速通量,政府和关键基础设施组织应与其互联网服务提供商、网络安全服务提供商和/或其保护性DNS服务协调,利用准确、可靠、及时的快速通量检测分析实施以下缓解措施。
注意:某些合法活动,如常见的内容分发网络(CDN)行为,可能看起来像恶意快速通量活动。保护性DNS服务、服务提供商和网络防御者应做出合理努力,例如将预期的CDN服务加入允许列表,以避免拦截或阻碍合法内容。
-
DNS和IP拦截与沉洞恶意快速通量域名和IP地址
- 通过不可路由的DNS响应或防火墙规则拦截对识别为使用快速通量的域名的访问。
- 考虑对恶意域名进行沉洞,将来自这些域名的流量重定向到受控服务器以捕获和分析流量,帮助识别网络内受感染的主机。
- 拦截已知与恶意快速通量网络关联的IP地址。
-
对启用快速通量的恶意活动进行信誉过滤
- 拦截与信誉差的域名或IP地址的往来流量,特别是被识别为参与恶意快速通量活动的那些。
-
增强监控和日志记录
- 增加DNS流量和网络通信的日志记录和监控,以识别新的或持续的快速通量活动。
- 实施自动警报机制,以快速响应检测到的快速通量模式。
-
协作防御和信息共享
- 与可信合作伙伴和威胁情报社区共享检测到的快速通量指标(如域名、IP地址),以增强集体防御工作。
- 参与公共和私人信息共享计划,了解新兴的快速通量战术、技术和程序(TTP)。定期协作尤为重要,因为这些域名的大多数恶意活动在其初始使用后的几天内发生;因此,网络安全社区的早期发现和信息共享对于最小化此类恶意活动至关重要。
-
网络钓鱼意识和培训
- 实施员工意识和培训计划,帮助人员识别并适当响应网络钓鱼尝试。
- 制定管理和控制网络钓鱼事件的政策和程序,特别是那些由快速通量网络促成的事件。
网络防御者
撰写机构鼓励组织使用能够检测和拦截快速通量的网络安全和PDNS服务。通过利用能够检测快速通量并实施DNS和IP拦截、沉洞、信誉过滤、增强监控、日志记录和协作防御恶意快速通量域名和IP地址能力的提供商,组织可以减轻与快速通量相关的许多风险,并维持更安全的环境。
然而,一些PDNS提供商可能无法检测和拦截恶意快速通量活动。组织不应假设其PDNS提供商会自动拦截恶意快速通量活动,并应联系其PDNS提供商验证对此特定网络威胁的覆盖范围。
结论
快速通量对网络安全构成持续威胁,利用快速变化的基础设施掩盖恶意活动。通过实施强大的检测和缓解策略,组织可以显著降低被快速通量启用威胁入侵的风险。
撰写机构强烈建议组织与其网络安全提供商合作,开发多层方法来检测和缓解恶意快速通量操作。利用能够检测和拦截启用快速通量的恶意网络活动的服务,可以显著增强组织的网络防御。