敵対的な国民国家と財政的に動機付けられたランサムウェアグループが事業を隠すために使用している技術は、重要なインフラストラクチャと国家安全保障に対する脅威をもたらしている、と国家安全保障局は警告している。
この手法は、高速フラックスとして知られています。脅威アクターが運営する分散型ネットワークがインフラストラクチャを隠し、そうでなければ成功するテイクダウンの試みを生き残ることができます。高速フラックスは、これらのボットネットがインターネットに接続するために使用する一連のIPアドレスとドメイン名をサイクリングすることにより機能します。場合によっては、IPSとドメイン名が毎日1〜2回変更されます。それ以外の場合、それらはほぼ1時間ごとに変化します。一定のフラックスは、インフラストラクチャの真の起源を分離するタスクを複雑にします。また、冗長性も提供します。ディフェンダーが1つのアドレスまたはドメインをブロックするまでに、新しいドメインがすでに割り当てられています。
重大な脅威
「この手法は、国家安全保障に大きな脅威をもたらし、悪意のあるサイバーアクターが一貫して検出を回避できるようにします」とNSA、FBI、およびカナダ、オーストラリア、ニュージーランドのカウンターパート 木曜日に警告した。 「サイバー犯罪や国民国家主体を含む悪意のあるサイバー俳優は、急速に変化するドメイン名システム(DNS)レコードにより、悪意のあるサーバーの位置を迅速に使用して肥大化します。さらに、弾力性のある、非常に利用可能なコマンドとコントロール(C2)インフラストラクチャを作成し、その後の悪意のある操作を隠すことができます。」
これを達成するための重要な手段は、 ワイルドカードDNSレコード。これらのレコードは、ドメインをIPアドレスにマッピングするドメイン名システム内のゾーンを定義します。ワイルドカードは、特にメールサーバーの指定に使用されるMX(メール交換)レコードを結ぶことにより、存在しないサブドメインのDNS検索を引き起こします。その結果、攻撃者のIPが存在していなくても、存在していない場合でも、攻撃者のIPが存在していない場合でも、サブドメインに割り当てられます。
