Le fast-flux est une technique utilisée par les cyber-attaquants pour changer rapidement les adresses IP associées à un domaine malveillant, parfois toutes les quelques minutes. Cette rotation constante rend incroyablement difficile le blocage des menaces par les outils de sécurité traditionnels à l'aide d'indicateurs statiques tels que des adresses IP ou des domaines connus.
Bien que le fast-flux soit depuis des années un élément essentiel des opérations de ransomware, de phishing et de botnet, il continue d'échapper à la détection. Sa nature dynamique permet aux attaquants de maintenir une infrastructure résiliente qui reste cachée à la vue de tous.
Aujourd’hui, la CISA, la NSA et les agences internationales de cyberdéfense tirent la sonnette d’alarme : le « fast flux » n’est plus un cas isolé, mais une menace croissante pour la sécurité nationale, et la plupart des organisations ne sont pas équipées pour le détecter. Pour les responsables de la sécurité, cela signifie une chose : il est temps d’aller au-delà de la détection statique et de commencer à se concentrer sur les comportements. C’est là que l’analyse comportementale (telle que celle intégrée à la Vectra AI ) fait toute la différence.
Comment les attaquants utilisent les flux rapides pour rester cachés
Le fast-flux se présente sous deux formes principales, le simple flux et le double flux, toutes deux conçues pour aider les attaquants à garder une longueur d'avance sur les équipes de sécurité.
- Le flux unique signifie qu'un site web ou un domaine est lié à de nombreuses adresses IP différentes qui changent constamment. Si l'une d'entre elles est bloquée, l'attaquant en utilise une autre. Ainsi, leurs opérations malveillantes restent opérationnelles même si une partie de leur installation est découverte.
- Le double flux va encore plus loin. Non seulement les adresses IP changent, mais les systèmes qui dirigent le trafic vers ces adresses (appelés serveurs de noms) changent également fréquemment. Il est donc encore plus difficile pour les défenseurs de savoir d'où vient le mauvais trafic ou de l'interrompre.
Les cyberattaquants utilisent les flux rapides pour soutenir un large éventail d'activités dangereuses. L'avis de la CISA attire l'attention sur des groupes de ransomwares tels que Hive et Nefilim, qui ont utilisé cette technique pour dissimuler leurs systèmes et prolonger leurs attaques.
Le fast-flux est également utilisé dans les escroqueries par phishing pour maintenir de faux sites web en ligne, même lorsque les équipes de sécurité tentent de les supprimer. Un groupe APT lié à la Russie, appelé Gamaredon, a utilisé le fast-flux pour rendre presque impossible le blocage de ses serveurs à l'aide d'adresses IP. Cette même configuration est souvent utilisée par les fournisseurs d'hébergement à l'épreuve des balles, des entreprises qui protègent les cybercriminels en cachant les vrais serveurs derrière de faux serveurs qui changent constamment. Ces faux serveurs encaissent les coups, tandis que les vrais systèmes malveillants restent actifs et ne sont pas détectés.
Pourquoi les outils de sécurité traditionnels ne peuvent pas suivre
La plupart des anciens outils de sécurité s'appuient sur des informations fixes (comme des sites web connus pour leur mauvaise qualité ou des adresses IP sur liste noire) pour bloquer les menaces. Mais les flux rapides modifient ces informations si rapidement que ces outils ne peuvent pas suivre.
Pourquoi le blocage d'adresses IP ne fonctionne-t-il pas ?
Dans les attaques par flux rapide, le système derrière un site web malveillant change constamment d'adresse IP, parfois toutes les quelques minutes. Le temps qu'une adresse soit bloquée, l'attaquant en utilise déjà de nouvelles. Il s'agit d'un véritable jeu de piste qui fait perdre du temps sans pour autant arrêter la menace.
Pourquoi le filtrage DNS ne fonctionne pas
Certains outils de sécurité tentent de bloquer les mauvais sites web en examinant l'activité du domaine. Mais les flux rapides peuvent ressembler à des services légitimes, comme ceux utilisés pour accélérer les sites web (appelés réseaux de diffusion de contenu). Sans comprendre la situation dans son ensemble, ces outils peuvent bloquer un trafic sûr ou laisser passer des sites nuisibles.
Résultat : des lacunes dans la détection
La CISA a clairement identifié ce problème. Les attaquants utilisent les flux rapides pour maintenir leurs systèmes de contrôle en ligne, héberger de faux sites web et éviter les démantèlements tout en restant pratiquement invisibles pour les défenses traditionnelles. Le problème principal n'est pas seulement la rapidité avec laquelle les choses changent. C'est que les outils plus anciens ne peuvent pas faire la différence entre un comportement suspect et une activité normale. C'est là qu'intervient une détection plus intelligente, basée sur le comportement.
Le point de vue de Vectra AI: c'est le comportement, et non les signatures, qui met fin aux flux rapides.
Pour détecter les flux rapides, il ne s'agit pas de collecter davantage d'informations sur les menaces, mais de comprendre ce que fait l'attaquant. Les infrastructures les plus dangereuses aujourd'hui ne s'appuient pas sur des indicateurs fixes. Elle s'adapte, se dérobe et se cache à la vue de tous. C'est pourquoi la détection comportementale est le seul moyen fiable de garder une longueur d'avance sur les menaces qui utilisent un flux rapide.
Une IA qui comprend le comportement des attaquants
Vectra AI est conçue pour détecter les comportements suspects que les outils traditionnels laissent souvent passer. Au lieu d'essayer de suivre le rythme des adresses de sites web et des adresses IP en constante évolution, elle analyse le comportement des appareils sur votre réseau. Par exemple : un appareil effectue-t-il un grand nombre de requêtes DNS inhabituelles ? Envoie-t-il soudainement des données ou se déplace-t-il sur le réseau de manière inhabituelle juste après la connexion d'un utilisateur ? Ces comportements peuvent sembler insignifiants pris isolément, mais ensemble, ils forment un schéma. Et ces schémas sont souvent les premiers signes avant-coureurs d'un problème bien plus grave, comme un système de contrôle caché, un phishing ou le début d'une attaque par ransomware.
Détection précoce de l'ensemble de la progression de l'attaque
Le « fast flux » n'est qu'un élément parmi d'autres de la panoplie des techniques utilisées par les pirates. La Vectra AI ne se contente pas de signaler les comportements DNS furtifs, elle vous aide à anticiper la suite des événements :
- Reconnaissance : Identifier les actifs à cibler après l'accès initial.
- Mouvement latéral : Sauter d'un système interne à l'autre pour étendre le contrôle.
- Communications C2 : Utilisation d'un flux rapide pour dissimuler les canaux d'appel à domicile.
Parce que Vectra AI se concentre sur les comportements, ces menaces peuvent être détectées rapidement, même si l'attaquant utilise une infrastructure inconnue jusqu'à présent. Cela permet à votre équipe SOC de prendre des mesures significatives et proactives avant que le ransomware ne soit déployé ou que l'exfiltration de données ne commence. En bref : nous ne nous contentons pas de voir ce que l'attaquant utilise, nous voyons ce qu'il fait. C'est ainsi que vous restez en tête des flux rapides.
Comment Vectra AI soutient une stratégie de défense multicouche
Combler les lacunes face au « fast flux » grâce à la détection basée sur l'IA Le « fast flux » n'est pas seulement une astuce sophistiquée utilisée par les pirates ; c'est un véritable défi lancé aux modèles de sécurité traditionnels. Comme le souligne clairement l'avis de la CISA, de nombreuses organisations présentent encore des lacunes en matière de détection et de neutralisation de cette tactique. Vectra AI aide à combler cette lacune. En analysant les comportements plutôt qu'en s'appuyant sur des indicateurs statiques, nos analyses basées sur l'IA réduisent considérablement les faux positifs, permettant ainsi aux équipes SOC de se concentrer sur les menaces réelles et d'agir rapidement.
Il est temps d'évaluer si vos défenses actuelles peuvent réellement détecter les activités de fast-flux. Si votre stratégie de détection repose toujours sur les listes de blocage et la réputation des adresses IP, vous risquez de ne pas voir les premiers signes d'un ransomware, d'un phishing ou de communications C2 qui utilisent le fast-flux pour échapper à la détection.
Vous souhaitez voir comment cela fonctionne dans la pratique ? Suivez une visite autoguidée de la Vectra AI et découvrez comment nous détectons les comportements de type « fast flux » dans des scénarios d'attaque réels, sans recourir à des signatures. Plus tôt vous repérez les attaquants, plus vite vous pouvez les neutraliser.