ip network devices

Les cyber-agences exhortent les organisations à collaborer pour arrêter les attaques DNS de flux rapide

Lucas Morel

Ils appellent la tactique une «menace de sécurité nationale» et un «écart défensif dans de nombreux réseaux».

Les dirigeants informatiques dans les gouvernements, les fournisseurs d’infrastructures critiques et les entreprises doivent travailler en étroite collaboration avec leurs FAI et les fournisseurs de cybersécurité pour bloquer une tactique de plus en plus utilisée par les acteurs de la menace pour cacher les emplacements des serveurs malveillants, a déclaré le partenariat des cinq yeux des pays.

Dans un avertissement conjoint émis cette semaine, les agences de cyber et de renseignement des États-Unis, du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande ont déclaré que la tactique, appelée Fast Flux, est «une menace de sécurité nationale».

Fast Flux permet aux attaquants d’obscurcir les emplacements des serveurs de commande et de contrôle malveillants (C2) par des enregistrements de système de noms de domaine en évolution rapide (DNS).

C’est «un écart défensif dans de nombreux réseaux», indique le rapport.

Les agences recommandent que toutes les parties prenantes, le gouvernement et les prestataires, collaborent sur le développement et la mise en œuvre de solutions évolutives pour combler cette lacune.

Cependant, le rapport admet, différencier le flux rapide de l’activité légitime «reste un défi permanent». Par exemple, certains comportements de réseau de livraison de contenu commun (CDN) peuvent ressembler à une activité de flux rapide malveillant. Pour éviter de bloquer ou d’entraver le contenu légitime, les services de protection DNS (PDN), les fournisseurs de services et les défenseurs de réseaux devraient faire des «efforts raisonnables», tels que permettre la liste des services CDN attendus, indique le rapport.

Un problème: les domaines de flux rapide cyclère fréquemment à travers des dizaines ou des centaines d’adresses IP par jour.

Pas une nouvelle tactique

Le flux rapide n’est pas nouveau. Un réseau criminel appelé Avalanche, qui aurait été actif depuis au moins 2009, l’a utilisé pour exploiter jusqu’à un demi-million d’ordinateurs infectés pour distribuer 20 familles de logiciels malveillants. L’Avalanche a été retirée par les organismes d’application de la loi en 2018 après un effort de quatre ans. Cependant, de nombreuses organisations ne connaissent aujourd’hui les tactiques.

Ed Dubrovsky, COO et associé directeur de Cypfer, une société internationale de réponse aux incidents, a déclaré que davantage les départements informatiques et les prestataires doivent connaître la tactique. Mais il ne sait pas si la plupart des FAI et leurs clients, en particulier les entreprises qui hébergent leurs propres serveurs DNS, sont prêts à se défendre.

Par exemple, a-t-il déclaré dans une interview, les défenseurs doivent détecter rapidement les modèles de requête DNS anormaux. Mais la plupart des entreprises, même grandes, ne peuvent pas faire cela, a-t-il déclaré. Les défenseurs devront également intégrer et digérer rapidement les informations sur les menaces DNS. Mais il doutait également que cela puisse être fait avec les pare-feu actuels et les serveurs DNS.

C’est pourquoi le rapport demande plus de collaboration entre les FAI, les fabricants d’appareils de cybersécurité et leurs clients à développer des solutions évolutives.

« Il y aura la nécessité de réorganiser de nombreuses technologies dans les petites et moyennes entreprises », a-t-il ajouté, « les seules organisations qui pourraient avoir les ressources (pour gérer les attaques de flux rapides) sont des organisations d’infrastructure vraiment critiques et des entreprises plus grandes. »

Comment atténuer les attaques DNS

Le flux rapide est l’un des nombreux types d’attaque DNS. Mais il existe des tactiques que les organisations peuvent utiliser pour les atténuer.

Dans le cas d’un flux rapide, le rapport recommande:

  • Les défenseurs doivent utiliser les services de cybersécurité et de PDN qui détectent et bloquent le flux rapide. «En tirant parti des fournisseurs qui détectent des flux rapides et implémentez des capacités pour le DNS et le blocage IP, le somblage, le filtrage de réputation, la surveillance améliorée, la journalisation et la défense collaborative des domaines de flux rapide malveillant et des adresses IP plus sécurisées», indique le rapport;
  • Les fournisseurs de services FAI et de cybersécurité, en particulier les fournisseurs de PDN, devraient mettre en œuvre une approche multi-couches en coordination avec les clients pour la détection.
    Les tactiques incluent:
    • Utiliser des flux de renseignement sur les menaces et des services de réputation pour identifier les domaines de flux rapide connues et les adresses IP associées;
    • Implémentation de systèmes de détection d’anomalies pour les journaux de requête DNS afin d’identifier les domaines présentant une forte entropie ou une diversité IP dans les réponses DNS et des rotations fréquentes d’adresses IP;
    • L’analyse des valeurs de temps pour vivre (TTL) dans les enregistrements DNS, car les domaines de flux rapide ont souvent des valeurs TTL inhabituellement faibles;
    • examiner la résolution du DNS pour une géolocalisation incohérente;
    • Surveillance des signes d’activités de phishing, telles que les e-mails suspects, les sites Web ou les liens et les corréler avec l’activité Fast Flux, etc.

Comme on pouvait s’y attendre, car Fast Flux essaie de masquer les serveurs C2, il est lié aux attaques de phishing. Ainsi, l’avis indique que tous les services informatiques devraient surveiller les signes d’activité de phishing et les corréler avec l’activité de flux rapide. Une tactique défensive: formation de sensibilisation au phishing.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?