Domain fluxing is een techniek die wordt gebruikt door cybercriminelen om detectie- en take-down progingen te omzeilen door regelmatig de domeinnamen te wijzigen die worden gebruikt om te communiceren met systemen die zijn geïnfecteerd met malware. Dit wordt bereikt door geautomatiseerde domain generation algorithms (DGA’s) die een groot aantal willekeurige of semi-willekeurige domeinnamen creëren, waardoor het voor verdedigers moeilijk wordt om kwaadaardige infrastructuur te blokkeren of af te sluiten.
Er zijn twee hoofdtypen domain fluxing:
Algoritmische domeinfluxing: Malware genereert een voorspelbare reeks domeinnamen met behulp van een algoritme, maar slechts enkele worden daadwerkelijk geregistreerd door de aanvallers voor command-and-control (C2) doeleinden.
Snelle fluxnetwerken: Aanvallers veranderen snel de IP-adressen die aan een domein zijn gekoppeld door een botnet van geïnfecteerde machines te gebruiken, waardoor het moeilijker wordt om de aanval af te slaan.
flowchart TD
%% Nodes
A[fa:fa-user-secret Attacker]
D[fa:fa-server DNS Server]
C[fa:fa-terminal C2 server]
S[fa:fa-seedling DGA and seed]
V[fa:fa-computer Victim]
%% Connections between nodes
A -->|malware| V
V <--> |abc.com nxdomain| D
V <--> |xyz.com 12.3.4.5| D
C --> V
A <--> |controls| C
S --> A
V --> |xyz.com 12.3.4.5| C
A --> | Adds xyz.com| D