Техники: T1568 , T1568.001 , T1568.002 , T1568.003
Злоумышленники могут использовать Fast Flux DNS, чтобы скрыть командный и управляющий канал за массивом быстро меняющихся IP-адресов, связанных с одним доменным разрешением. В этой технике используется полностью определенное доменное имя с несколькими IP-адресами, назначенными ему, которые меняются местами с высокой частотой, используя комбинацию круговой IP-адресации и короткого времени жизни (TTL) для записи ресурса DNS.(Цитата: MehtaFastFluxPt1)(Цитата: MehtaFastFluxPt2)(Цитата: Fast Flux - Welivesecurity)
Самый простой, "однопоточный" метод включает регистрацию и снятие с регистрации адресов как части списка записей DNS A (адрес) для одного DNS-имени.Срок жизни этих регистраций составляет в среднем пять минут, что приводит к постоянной перетасовке разрешения IP-адресов.(Цитата: Fast Flux - Welivesecurity)
В отличие от этого, метод "двойного потока" регистрирует и снимает с регистрации адреса в списке записей сервера имен DNS для зоны DNS, обеспечивая дополнительную устойчивость соединения.При использовании double-flux дополнительные хосты могут выступать в качестве прокси для хоста C2, еще больше изолируя истинный источник канала C2.
https://attack.mitre.org/techniques/T1568/001
Визуализация смежных техник для T1568.001
| № | Техника |
|---|
