Fast Flux 공격

1. 개요

- 주요국 사이버보안 당국이 공동으로 Fast Flux 기법의 위험성 경고 [1]

- DNS 레코드를 빠르게 변경하여 악성 서버의 위치를 은폐하여 탐지를 (지속적으로) 회피하기 위해 사용

2. 주요내용

- 악의적인 공격자가 공격을 진행할 때 상태 업데이트 및 추가 명령을 받기 위해 "Call Home(≒C2)"을 사용

> Fast Flux를 활용해 해당 통신이 악성으로 탐지되어 차단될 가능성을 줄일 수 있음

> Fast Flux는 단일 도메인과 관련된 DNS 레코드(Ex. IP 주소)를 빠르게 변경하는 도메인 기반 기술

> Single flux와 Double flux 기법이 존재

 

2.1 Single flux

- 하나의 도메인이 다수의 IP와 연결되어 IP가 빠르게 순환하는 방식

> 하나의 IP 주소가 차단 또는 다운되더라도 다른 IP 주소를 통해 해당 도메인에 계속 접근 가능

① 악성코드가 malwaredomain.com에 대한 DNS 조회 수행

② DNS는 malwaredomain.com의 IP 주소 x.x.x.x 응답

③ 악성코드가 IP x.x.x.x와 통신을 시작

④ 봇넷이 악성코드로부터 수신한 데이터를 공격자에게 전달

⑤ 공격자는 봇넷을 통해 악성코드에 명령 전송

⑥ 봇넷이 해당 명령을 감염된 디바이스에 전달

⑦ 공격자는 malwaredomain.com의 IP 주소를 y.y.y.y로 변경

⑧ ①~⑦ 과정이 매 5분마다 반복되며, malwaredomain.com의 IP 주소가 계속 변경됨

[사진 1] Single flux 공격 과정

2.2 Double flux

- 하나의 도메인에 다수의 IP와 다수의 DNS 네임서버가 연결 및 빠르게 순환하는 방식

> Single flux 보다 상대적으로 추적이 어렵고 우회가 가능

① 악성코드가 malwaredomain.com에 대한 DNS 조회 수행

② DNS는 malwaredomain.com의 IP 주소 x.x.x.x 응답

③ 악성코드가 IP x.x.x.x와 통신을 시작

④ 봇넷이 악성코드로부터 수신한 데이터를 공격자에게 전달

⑤ 공격자는 봇넷을 통해 악성코드에 명령 전송

⑥ 봇넷이 해당 명령을 감염된 디바이스에 전달

⑦ 공격자는 malwaredomain.com의 DNS 서버를 b.b.b.b로 변경

⑧ 공격자는 malwaredomain.com의 IP 주소를 y.y.y.y로 변경

⑨ ①~⑧ 과정이 매 5분마다 반복되며, malwaredomain.com의 DNS 서버와 IP 주소가 계속 변경됨

[사진 2] Double flux 공격 과정

2.3 공격 장점

구분	설명
복원력 향상	- Fast Flux 네트워크는 봇넷 장치를 빠르게 순환 > 이러한 변화를 신속히 처리하거나 서비스를 차단하기 어려움
IP 차단 무력화	- IP 주소가 빠르게 변경 > 특정 IP를 차단하여도 이미 다른 IP를 사용
익명성	- IP 주소 변경 > 악성 콘텐츠의 출처를 추적하는 데 어려움

※ C2 탐지 회피 뿐만 아니라 피싱 페이지 호스팅, 악성코드 유포 사이트 운영 등 공격 기반 인프라로 적극 활용되는 중

※ 일부 BPH 업체(Bulletproof Hosting : 방탄 호스팅, 서버 내에 고객이 뭘 저장하든 묻지 않고 상관도 하지 않음)는 해당 기능을 적극 광고 중

 

2.4 대응방안

구분		설명
탐지 기술		- 위협 인텔리전스 피드와 평판 활용 : 알려진 Fast Flux 도메인 및 IP 주소 식별 - DNS 이상 탐지 시스템 구현 : DNS 응답에서 높은 엔트로피 또는 다양한 IP 응답, 빈번한 IP 변경이 있는 도메인 식별 - TTL 분석 : Fast Flux 도메인은 비정상적으로 짧은 TTL을 가짐 (일반적으로 3~5분마다 IP 주소가 변경) - 지리적 위치 일치 여부 확인 : IP 지리 정보가 일관되지 않은 트래픽 의심 - FLOW 데이터 분석 : 짧은 시간에 다양한 IP와 대규모 통신이 발생하는 패턴 탐지 - Fast Flux 탐지 알고리즘 개발 : 평시와 다른 DNS 트래픽 팬턴을 식별할 수 있는 분석 모델 개발 - 피싱 관련 징후 모니터링 : 의심 이메일, 링크, 웹 사이트 등을 Fast Flux 활동과 연계해 분석 - 고객과 정보 공유 및 투명성 확보 : 악성 활동이 확인되면 즉시 고객에 경고
완화 방안	조직	- IP 차단 및 DNS Sinkhole 활용 : Fast Flux 도메인과 IP 관련 트래픽을 제어된 서버로 리디렉션하여 분석 - 평판 기반 필터링 : 악성 행위가 확인된 (특히 Fast Flux와 관련되어 있는) 도메인 및 IP 차단 - 향상된 모니터링 및 로깅 : DNS 트래픽과 네트워크 통신에 대한 로깅 강화 - 자동화된 알림 메커니즘 구현 : Fast Flux에 대한 신속한 대응이 가능하도록 구현 - 정보 공유 및 협력 : 감지된 도메인, IP 등을 신뢰 파트너 및 보안 커뮤니티와 공유하여 공동 방어 노력 강화 - 보안 교육 : 전사 피싱 인식 교육 및 대응 절차 수립
	관리자	- PDSN 서비스 사용 > PDNS(Protective DNS) : 사용자의 DNS 요청을 감시, 분석, 필터링하여 악성 사이트 접속을 사전에 차단해주는 보안 기능이 내장된 DNS 서비스 > 모든 PDSN 서비스가 Fast Flux를 탐지 및 차단하는 것은 아니므로 공급업체에 해당 위협의 적용 범위 확인 필요

※ 일부 CDN 동작과 같은 합법적인 활동이 Fast Flux 활동으로 오인될 수 있으므로, 합법적 콘텐츠를 화이트리스트에 등록하는 등 합리적인 노력을 기울여야 함

3. 참고

[1] https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-093a
[2] https://media.defense.gov/2025/Apr/02/2003681172/-1/-1/0/CSA-FAST-FLUX.PDF
[3] https://www.dailysecu.com/news/articleView.html?idxno=165139