Fast Flux: Sicherheitsbehörden warnen vor raffinierter Tarntechnik bei Cyberangriffen
Cybersicherheitsbehörden aus Australien, Kanada, Neuseeland und den Vereinigten Staaten haben eine gemeinsame Warnung veröffentlicht: Sie weisen auf die Gefahren einer Technik namens „Fast Flux“ hin, die von Cyberkriminellen eingesetzt wird, um ihre Command & Controll-Kanäle zu verschleiern.
Bei „Fast Flux“ handelt es sich um ein Verfahren, bei dem die Zuordnung von Domainnamen zu IP-Adressen im Domain Name System (DNS) in hoher Frequenz wechselt, um die Standorte bösartiger Server zu verschleiern. Diese Technik wird von Angreifern genutzt, um Sicherheitsmaßnahmen gezielt zu umgehen. „Diese Bedrohung nutzt eine Lücke, die häufig in Netzwerksicherheitsarchitekturen besteht, und erschwert damit das Nachverfolgen und Blockieren von Fast-Flux-Aktivitäten“, heißt es in der Behörden-Mitteilung.
Herausgegeben wurde die Warnung von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA), dem Federal Bureau of Investigation (FBI), dem Australian Cyber Security Centre im Rahmen der Australian Signals Directorate, dem Canadian Centre for Cyber Security sowie dem National Cyber Security Centre Neuseelands.
In den vergangenen Jahren wurde Fast Flux von zahlreichen Hackergruppen übernommen – darunter Akteure, die mit Gamaredon, CryptoChameleon und Raspberry Robin in Verbindung gebracht werden. Ziel ist es, bösartige Infrastrukturen gegenüber Erkennungssystemen und Maßnahmen der Strafverfolgung resilienter zu machen.
Insbesondere Gamaredon wurde dabei beobachtet, wie die Gruppe eine große Anzahl von .ru-Domains registriert, die über REGRU-RU verwaltet werden. Die zugehörigen IP-Adressen wechseln dabei im Tagesrhythmus. Laut Hunt.io handelt es sich dabei um eine Variante mit niedriger Frequenz des sogenannten Single-Flux-DNS. Anders als klassisches Fast Flux in Botnetzen, das innerhalb von Minuten durch Hunderte IP-Adressen rotiert, operiert Gamaredon mit einem langsameren, offenbar manuell oder automatisiert gesteuerten Wechselmechanismus.
Fast Flux: Tarnkappe für bösartige Serverinfrastruktur
Technisch gesehen wird beim Fast Flux eine Vielzahl von IP-Adressen genutzt, die schnell rotieren, aber alle auf dieselbe bösartige Domain verweisen. Die Methode wurde erstmals 2007 im Rahmen des Honeynet Project in freier Wildbahn entdeckt. Man unterscheidet zwischen Single Flux, bei dem eine Domain mit vielen IP-Adressen verknüpft ist, und Double Flux, bei dem zusätzlich auch die zuständigen DNS-Nameserver regelmäßig ausgetauscht werden. Letzteres bietet Angreifern zusätzliche Redundanz und Anonymität.
„Ein Fast-Flux-Netzwerk ist deshalb so ’schnell‘, weil es über DNS zügig durch viele Bots rotiert, wobei jede einzelne IP nur für kurze Zeit genutzt wird“, schrieb Palo Alto Networks Unit 42 bereits 2021. „Das erschwert IP-basierte Blocklisten und Abschaltversuche erheblich.“
Die Behörden stufen Fast Flux als Bedrohung der nationalen Sicherheit ein. Angreifer nutzen die Technik, um sowohl die Standorte bösartiger Server zu verschleiern als auch widerstandsfähige Command & Controll-Infrastrukturen aufzubauen, die gezielte Abschaltungen überstehen können. Doch das ist nicht alles: Fast Flux wird auch eingesetzt, um Phishing-Webseiten zu hosten oder Malware bereitzustellen und zu verbreiten.
Empfohlene Schutzmaßnahmen gegen Fast Flux
Um sich wirksam vor Fast-Flux-Aktivitäten zu schützen, empfehlen die Behörden ein mehrschichtiges Vorgehen. Dazu zählen unter anderem:
- Blockieren verdächtiger IP-Adressen – zur Unterbrechung des Datenverkehrs zu bekannten bösartigen Systemen
- Umleiten bösartiger Domains (Sinkholing) – um den Schaden durch kompromittierte Domains zu begrenzen und Aktivitäten zu analysieren
- Filtern von Netzwerkverkehr – insbesondere zu und von IP-Adressen oder Domains mit schlechter Reputation
- Einsatz erweiterter Monitoringlösungen – zur frühzeitigen Erkennung verdächtiger DNS- und Verbindungsaktivitäten
- Schulungen zur Phishing-Sensibilisierung – um das Risikobewusstsein der Mitarbeitenden zu stärken und Fehlverhalten zu minimieren
Nur durch die Kombination technischer, organisatorischer und menschlicher Maßnahmen lässt sich die Bedrohung durch Fast Flux wirksam eindämmen.
„Fast Flux stellt eine anhaltende Gefahr für die Netzwerksicherheit dar, da es durch schnell wechselnde Infrastrukturen bösartige Aktivitäten verschleiert“, so die Behörden. „Mit robusten Erkennungs- und Abwehrmaßnahmen können Organisationen ihr Risiko einer Kompromittierung deutlich reduzieren.“
Renee Burton, Vice President Threat Intelligence bei Infoblox, bezeichnete Fast Flux in einer Stellungnahme als eine „sehr alte“ Technik, deren Einsatz jedoch „signifikantes Fachwissen“ erfordert, wenn sie unabhängig betrieben werden soll. „Einfacher ist es, dynamisches DNS zu verwenden – ein gängiger Dienst, der von vielen DNS-Anbietern angeboten wird“, erklärte Burton.
Selbst wenn Angreifer diese Hürde nehmen und die DNS-Kontrolle erlangen, benötigen sie immer noch Ressourcen für das Hosting – sei es über kompromittierte Systeme oder durch den Kauf zahlreicher Server. Warum Fast Flux dennoch vergleichsweise selten eingesetzt wird, bleibt Spekulation – möglicherweise, weil der Aufwand hoch ist und der taktische Vorteil begrenzt.
Ferner greifen Angreifer auch auf andere Methoden zurück, um ihre Infrastruktur langfristig im Netz zu halten. Dazu zählen etwa sogenannte Traffic Distribution Systems (TDS) oder Domain Cloaking im Rahmen bösartiger Online-Werbung. „Wer Adtech-Infrastrukturen missbraucht, kann seine Aktivitäten nicht nur verstecken, sondern sich über dubiose Anbieter – vergleichbar mit Bulletproof-Hostern – auch auf eine Art scheinbare rechtliche Absicherung berufen“, so Burton.