Cyberbrottslingar undviker upptäckt med nya metoder

IT-säkerhetsleverantören Palo Alto Networks visar i sin senaste rapport hur cyberbrottslingar allt oftare använder en avancerad så kallad Fast Flux-teknik för att undvika att deras angrepp stoppas.

Cyberbrottslingar undviker upptäckt med nya metoder

Metoden är ett exempel på hur hackare använder allt mer sofistikerade metoder för att genomföra sina attacker och inte bli upptäckta.

Alla digitala verksamheter, de legala såväl som de kriminella, behöver ha en robust infrastruktur för att behålla verksamheternas lönsamhet. De kriminella behöver dock förhålla sig till en faktor som andra inte behöver tänka på; hotet att deras servrar stängs ner eller att IP-adresser blockeras av myndigheterna. Därför räcker det inte att använda olika metoder för att skapa redundans som legitima verksamheter gör, och tekniken Fast Flux är hackarnas lösning för att komma runt problematiken.

Fast Flux används för att möjliggöra en rad skadliga aktiviteter, exempelvis nätfiske- och bedrägerikampanjer, botnetuthyrning och olaglig spelverksamhet. Med hjälp av ett ständigt föränderligt nätverk av komprometterade värdar används tekniken för att försvåra borttagning av IP-adresser och nedstängning av servrar. Fast Flux i sig är inte en ny metodik, däremot har tillvägagångssätten utvecklats i takt med att brottsbekämpningen lyckats mota de enklare uppläggen.

Palo Alto Networks rapport visar varför det är så svårt att bekämpa den här typen av brottslighet; grundproblemet är den ständiga föränderligheten av identiteter. IP-adressen, servern eller domänen som först identifierats som skadlig är inte den rätta, och när nedstängningen har skett har det kriminella flödet redan flyttats till nästa led. Arbetet med att bekämpa brottslingar som använder Fast Flux blir därför en katt-och-råtta-lek som både är tidskrävande och inte särskilt framgångsrik.

Rapporten illustrerar hur andra generationens Fast Flux-tekniker fungerar. En går under namnet ”Double Flux”, vilket syftar på att brottslingarna inte bara byter IP-adresser utan även servrar i en slags struktur där allt är utbytbart. Domänbyte är ett annat exempel, där de kriminella fokuserar på själva domännamnet, vilket innebär att brottsbekämpare måste kontakta domänregistratorn eller domänsäljaren för att kunna avaktivera domänen. När de väl kommit så långt har de kriminella redan registrerat nya namn. Det tredje tillvägagångssättet som hackarna använder är domängenereringsalgoritmer (DGA), vilket är en slags automatiserad version av föregående metod. I dessa fall används algoritmer, som ofta är krypterade, för att skapa ett enormt flöde av domännamn som gör det i princip omöjligt att komma åt dem.

Den här typen av avancerad kriminalitet är mycket svår att hantera för enskilda verksamheter, även för ett IT-team bestående av duktiga medarbetare. För att ligga steget före brottslingarna krävs säkerhetsprogram som kan känna igen de mönster som Fast Flux-tekniker ger upphov till. Palo Alto Networks rekommenderar därför verksamheter att använda system för URL-filtrering och DNS-säkerhet. Dessa kan upptäcka Fast Flux-hot, automatiskt aktivera skyddet och se till att inte angrepp släpps igenom.