2025年4月3日，美國國家安全局(NSA)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、聯(lián)邦調(diào)查局(FBI)聯(lián)合澳大利亞、加拿大、新西蘭等五眼聯(lián)盟成員國的網(wǎng)絡(luò)安全機(jī)構(gòu)，共同發(fā)布名為《快速通量：國家安全威脅》的全球性安全警報(bào)。報(bào)告指出，快速通量(Fast Flux)技術(shù)正被惡意行為者廣泛用于規(guī)避網(wǎng)絡(luò)防御，威脅關(guān)鍵基礎(chǔ)設(shè)施和國家安全。該技術(shù)通過動(dòng)態(tài)篡改域名系統(tǒng)(DNS)記錄，使攻擊者能夠隱藏惡意服務(wù)器位置，維持持久化控制，并大幅提升攻擊活動(dòng)的隱蔽性與彈性。報(bào)告強(qiáng)調(diào)，快速通量已被勒索軟件團(tuán)伙、國家級(jí)黑客組織(APT)及網(wǎng)絡(luò)犯罪論壇大規(guī)模采用，尤其在針對(duì)能源、金融、醫(yī)療和政府系統(tǒng)的攻擊中表現(xiàn)突出。NSA網(wǎng)絡(luò)安全主管戴夫·盧伯警告稱：“快速通量正在成為現(xiàn)代網(wǎng)絡(luò)攻擊的‘隱形武器’，其威脅等級(jí)已達(dá)到國家安全優(yōu)先級(jí)?！?024年5月，CISA發(fā)布了加密域名系統(tǒng)(DNS)實(shí)施指南，供聯(lián)邦民事行政部門(FCEB)機(jī)構(gòu)滿足DNS流量的加密要求并增強(qiáng)其IT網(wǎng)絡(luò)的網(wǎng)絡(luò)安全彈性。

這份名為《快速通量：國家安全威脅》的公告由美國國家安全局 (NSA)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)、聯(lián)邦調(diào)查局 (FBI)、澳大利亞信號(hào)局澳大利亞網(wǎng)絡(luò)安全中心 (ASD's ACSC)、加拿大網(wǎng)絡(luò)安全中心 (CCCS) 和新西蘭國家網(wǎng)絡(luò)安全中心 (NCSC-NZ) 發(fā)布，公告詳細(xì)說明，當(dāng)惡意網(wǎng)絡(luò)行為者入侵設(shè)備和網(wǎng)絡(luò)時(shí)，他們使用的惡意軟件需要“呼叫總部”來發(fā)送狀態(tài)更新并接收進(jìn)一步的指令。“為了降低被網(wǎng)絡(luò)防御者檢測(cè)到的風(fēng)險(xiǎn)，惡意網(wǎng)絡(luò)行為者使用快速通量等動(dòng)態(tài)解析技術(shù)，因此他們的通信不太可能被檢測(cè)為惡意并被阻止。”

什么是快速通量?

快速通量是一種通過頻繁修改域名解析記錄(DNS)來混淆攻擊源的技術(shù)。其核心運(yùn)作分為兩種模式：單通量(Single Flux)和雙通量(Double Flux)。

在單通量模式下，單個(gè)域名會(huì)綁定數(shù)十甚至數(shù)百個(gè)IP地址，這些IP地址通常來自被劫持的僵尸網(wǎng)絡(luò)設(shè)備或云服務(wù)商。攻擊者每2至5分鐘輪換一次IP地址，確保某個(gè)節(jié)點(diǎn)被封鎖后，其他節(jié)點(diǎn)仍能維持通信。例如，某勒索軟件的指揮控制(C2)服務(wù)器可能在一小時(shí)內(nèi)切換20個(gè)不同國家的IP，其中既有家用路由器，也有亞馬遜云服務(wù)的合法IP。

雙通量則進(jìn)一步升級(jí)隱匿能力：攻擊者不僅頻繁更換IP地址，還會(huì)同步修改域名服務(wù)器(NS記錄)的解析路徑。這種雙重動(dòng)態(tài)變化使得追蹤惡意流量的難度呈指數(shù)級(jí)上升。報(bào)告提到，部分APT組織甚至利用規(guī)范名稱(CNAME)記錄，將惡意域名偽裝成合法子域名(如“cdn.example.com”)，進(jìn)一步融入正常網(wǎng)絡(luò)流量。

該技術(shù)的核心優(yōu)勢(shì)在于抗封鎖性和匿名性。由于IP地址和域名服務(wù)器不斷變化，傳統(tǒng)防火墻的黑名單機(jī)制幾乎無法生效。此外，惡意流量?；祀s于谷歌云、AWS等平臺(tái)的合法服務(wù)中，防御者難以區(qū)分正常與異常行為。

現(xiàn)實(shí)危害

情報(bào)機(jī)構(gòu)已經(jīng)發(fā)現(xiàn)Fast Flux被用于多種威脅載體。防彈托管服務(wù)會(huì)忽略執(zhí)法請(qǐng)求和濫用通知，通常會(huì)提供Fast Flux作為服務(wù)差異化因素，幫助客戶逃避攔截。該技術(shù)已在勒索軟件攻擊中得到證實(shí)，包括Hive和Nefilim的攻擊。Gamaredon等民族國家行為者已采用快速通量來限制IP阻止在其行動(dòng)中的有效性。

在勒索軟件領(lǐng)域，Hive和Nefilim團(tuán)伙利用快速通量技術(shù)維持C2服務(wù)器的持久控制。例如，Hive在一次攻擊中通過單通量模式在48小時(shí)內(nèi)輪換超過200個(gè)IP地址，覆蓋15個(gè)云服務(wù)商。即使部分節(jié)點(diǎn)被執(zhí)法部門查封，攻擊鏈仍能在幾分鐘內(nèi)通過剩余節(jié)點(diǎn)恢復(fù)。Nefilim團(tuán)伙則利用雙通量技術(shù)攻擊歐洲能源公司，迫使德國政府啟動(dòng)國家網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)制。

國家級(jí)APT組織同樣依賴快速通量技術(shù)。俄羅斯背景的Gamaredon組織通過雙通量將針對(duì)烏克蘭政府機(jī)構(gòu)的間諜活動(dòng)偽裝成東歐電商平臺(tái)流量。攻擊域名每10分鐘切換一次IP地址，且部分節(jié)點(diǎn)位于波蘭和羅馬尼亞的合法數(shù)據(jù)中心，成功規(guī)避地理封鎖策略長達(dá)數(shù)月。

網(wǎng)絡(luò)釣魚活動(dòng)也因快速通量技術(shù)而“生命力”大增。比如釣魚網(wǎng)站通過單通量模式，在3周內(nèi)可輪換超過100個(gè)國家的IP地址。此外，快速通量還被用于維護(hù)暗網(wǎng)犯罪論壇的“高可用性”。防彈托管服務(wù)商將其作為核心功能，幫助客戶逃避執(zhí)法打擊。例如，暗網(wǎng)市場(chǎng)通過雙通量技術(shù)，使其域名服務(wù)器每小時(shí)更換一次，執(zhí)法部門的濫用投訴處理速度完全跟不上變化。

如何防御?

為了防御快速通量，政府和關(guān)鍵基礎(chǔ)設(shè)施組織應(yīng)與其互聯(lián)網(wǎng)服務(wù)提供商、網(wǎng)絡(luò)安全服務(wù)提供商和/或其保護(hù)性DNS服務(wù)協(xié)調(diào)，利用準(zhǔn)確、可靠和及時(shí)的快速通量檢測(cè)分析實(shí)施緩解措施。這些措施包括 DNS和IP阻止和惡意快速通量域和IP地址的Sinkholing、對(duì)啟用快速通量的惡意活動(dòng)進(jìn)行信譽(yù)過濾、增強(qiáng)監(jiān)控和日志記錄、協(xié)作防御和信息共享以及網(wǎng)絡(luò)釣魚意識(shí)和培訓(xùn)。

情報(bào)機(jī)構(gòu)呼吁組織使用可檢測(cè)和阻止快速通量的網(wǎng)絡(luò)安全和PDNS服務(wù)。通過利用可檢測(cè)快速通量的提供商并實(shí)施DNS和IP阻止、“ sinkholing ”、聲譽(yù)過濾、增強(qiáng)監(jiān)控、日志記錄和惡意快速通量域和 IP地址的協(xié)作防御功能，組織可以減輕與快速通量相關(guān)的許多風(fēng)險(xiǎn)并維護(hù)更安全的環(huán)境。但是，一些PDNS提供商可能無法檢測(cè)和阻止惡意快速通量活動(dòng)。

此外，組織不應(yīng)假設(shè)他們的PDNS提供商會(huì)自動(dòng)阻止惡意快速通量活動(dòng)，而應(yīng)聯(lián)系他們的PDNS提供商來驗(yàn)證對(duì)這種特定網(wǎng)絡(luò)威脅的覆蓋范圍。

結(jié)論

隨著快速通量威脅的復(fù)雜性與日俱增，防御側(cè)的緊迫性同步顯現(xiàn)。PDNS服務(wù)的局限性表現(xiàn)為PDNS提供商仍無法有效檢測(cè)快速通量活動(dòng)。而生成式AI可能被用于自動(dòng)化生成通量域名，攻擊頻率或提升百倍。正如Cybersec Innovation Partners首席執(zhí)行官安德魯·詹金森批評(píng)稱：“盡管CISA早在2019年就關(guān)注DNS濫用問題，但至今未形成有效解決方案。”防御者需加速打破數(shù)據(jù)孤島，推動(dòng)跨國聯(lián)合行動(dòng)。

快速通量技術(shù)的泛濫暴露了現(xiàn)代網(wǎng)絡(luò)基礎(chǔ)設(shè)施的深層漏洞。從勒索軟件到國家級(jí)間諜活動(dòng)，其威脅已滲透至國家安全的核心領(lǐng)域。防御者唯有通過技術(shù)迭代、數(shù)據(jù)共享與跨國協(xié)作，才能在這場(chǎng)動(dòng)態(tài)博弈中搶占先機(jī)。正如報(bào)告所呼吁：“對(duì)抗快速通量，是一場(chǎng)關(guān)乎數(shù)字時(shí)代主權(quán)的持久戰(zhàn)?！?/span>

參考資源

1、https://media.defense.gov/2025/Apr/02/2003681172/-1/-1/0/CSA-FAST-FLUX.PDF

2、https://cyberscoop.com/fast-flux-nsa-cisa-advisory-bulletproof-hosting/

3、https://industrialcyber.co/cisa/advisory-warns-of-fast-flux-national-security-threat-urges-action-to-protect-critical-infrastructure/

文章來源：網(wǎng)空閑話plus