Les agences de cybersécurité d’Australie, du Canada, de Nouvelle-Zélande et des États-Unis ont publié un avis conjoint sur les risques associés à une technique appelée fast flux qui a été adoptée par les acteurs de la menace pour masquer un canal de commandement et de contrôle (C2).

« Le fast-flux est une technique utilisée pour masquer l’emplacement des serveurs malveillants grâce à des enregistrements DNS (Domain Name System) à évolution rapide associés à un nom de domaine unique », ont déclaré les agences . « Cette menace exploite une faille fréquemment rencontrée dans les défenses réseau, rendant difficile le suivi et le blocage des activités de fast-flux malveillantes. »

L’avis est une gracieuseté de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), de l’Agence de sécurité nationale (NSA), du Federal Bureau of Investigation (FBI), du Centre australien de cybersécurité de la Direction des signaux australiens, du Centre canadien pour la cybersécurité et du Centre national de cybersécurité de la Nouvelle-Zélande.

Le flux rapide a été adopté par de nombreux groupes de pirates informatiques ces dernières années, y compris les acteurs malveillants liés à Gamaredon , CryptoChameleon et Raspberry Robin dans le but de faire en sorte que leur infrastructure malveillante échappe à la détection et aux démantèlements des forces de l’ordre.

Cette approche consiste essentiellement à utiliser plusieurs adresses IP et à les faire tourner rapidement, tout en pointant vers un domaine malveillant. Elle a été détectée pour la première fois en 2007 dans le cadre du projet Honeynet.

Il peut s’agir soit d’un flux unique, où un seul nom de domaine est lié à de nombreuses adresses IP, soit d’un double flux, où en plus de changer les adresses IP, les serveurs de noms DNS responsables de la résolution du domaine sont également modifiés fréquemment, offrant une couche supplémentaire de redondance et d’anonymat pour les domaines malveillants.

L’architecture à flux rapide de Mallory

« Un réseau à flux rapide est « rapide » car, en utilisant le DNS, il fait rapidement tourner de nombreux robots, en utilisant chacun d’eux pendant une courte période seulement pour rendre difficiles les efforts de liste noire et de retrait basés sur l’IP », a déclaré l’unité 42 de Palo Alto Networks dans un rapport publié en 2021.

Décrivant le flux rapide comme une menace pour la sécurité nationale, les agences ont déclaré que les acteurs de la menace utilisent cette technique pour masquer l’emplacement des serveurs malveillants, ainsi que pour établir une infrastructure C2 résiliente capable de résister aux efforts de démantèlement.

Ce n’est pas tout. Le flux rapide joue un rôle essentiel au-delà des communications C2 : il permet également aux adversaires d’héberger des sites de phishing, ainsi que de mettre en place et de diffuser des logiciels malveillants.

Pour se protéger contre les flux rapides, il est recommandé aux organisations de bloquer les adresses IP, de filtrer le trafic vers et depuis les domaines ou les adresses IP ayant une mauvaise réputation, de mettre en œuvre une surveillance renforcée et de renforcer la sensibilisation et la formation au phishing.

« Le fast-flux représente une menace persistante pour la sécurité des réseaux, exploitant l’évolution rapide des infrastructures pour masquer les activités malveillantes », ont déclaré les agences. « En mettant en œuvre des stratégies de détection et d’atténuation robustes, les organisations peuvent réduire considérablement leur risque de compromission par des menaces liées au fast-flux. »