This post is also available in: English (英語)
ドメイン ネーム システム(DNS)は、ヒューマンフレンドリーなURLをマシンフレンドリーなIPアドレスに変換するプロトコルで、実質的にインターネットの電話帳として機能しています。これは事業運営上欠かせない要素であることから、DNSトラフィックにはファイアウォールを通過することや、ネットワークオペレータにブロックされないことが求められています。ところがこれが、このプロトコルを脅威アクターにとっても格好の標的にしています。ここ数年、企業ネットワークに対してはDNSベースのさまざまな攻撃が展開されています。
多くの場合、攻撃者はDNSを使用してコマンド&コントロール(C2)を確立します。そしてC2の確立は、ネットワークへの不正アクセスやラテラルムーブ(横展開)、データ漏出へとつながります。DNSトラフィックの悪用やC2の阻止のため、セキュリティの強化が図られてきましたが、攻撃者の戦術と手法も進化しています。
以下にDNSを悪用する脅威アクターが用いる高度な攻撃のほんの一部を取り上げます。
DNSベースの攻撃は新しいものではなく、すでに蔓延しています。最近もUnit 42はDNSを悪用して不正な目的を達成した複数のマルウェアと背後の脅威アクターを複数の事例で確認しています。
中東で活動している脅威アクターのOilRigは、C2との通信にカスタムDNSトンネリングプロトコルを使用するツールを作成しました。この脅威アクターは、このツールを通信の主要チャネルとして使用するだけでなく、最初に設置した通信が正しく機能しない場合はフォールバックチャネルとしても使用することができました。
Unit 42はまた、中東の政府機関を標的にした脅威アクターのxHuntがSnugyと呼ばれるバックドアを使用していることも確認しました。このバックドアは、C2サーバーと通信するためにDNSトンネリングを使用しました。具体的には、DNS Aレコード検索を実行し、攻撃者が制御しているC2ドメインをカスタマイズしたサブドメインを解決することで行われました。
DGAを取り入れた攻撃者の最近の代表例が、SolarWindsのサプライチェーンを侵害したSUNBURSTバックドアです。SUNBURSTはDGAを使用して検出を回避し、マシンドメイン名、サーバー名、その他の識別子などの基本システム情報をエンコードしました。SUNBURSTは、攻撃者と連絡をとるために要求を送信します。この要求に含まれる識別情報に基づいて、攻撃者は第2段階の攻撃を仕掛けるかどうかを判断します。
私たちは、Smoke Loaderマルウェアファミリに関連する複数のC2ドメインを検出しました。このマルウェアをインストールすると、バックドアとして機能します。これにより、攻撃者は悪意のあるペイロードをC2サーバーからダウンロードできるようになります。ダウンロードするペイロードは、ランサムウェアから情報盗難まで多岐にわたります。私たちは、2週間未満の期間で約100個のIPアドレスに解決されるドメインを観測しました。
公式のCOVID-19関連リソースを偽装した悪意のあるNRDを多数作成することで、攻撃者はパンデミックを巧みに利用しました。攻撃者の標的は、パンデミックに関連した現在の出来事に応じて変わりました。パンデミックの初期段階では、COVID-19に関連した情報や検査キットを探している人々が攻撃者の標的となりました。その後、政府関連を謳ったNRDへの移行が観測されました。救済プログラムのアプリケーションを装い、ユーザーをだまして個人情報を提供するように仕向けたのです。標的はさらに変化し、現在の脅威アクターはワクチン関連のように見えるドメインを登録しています。
C2通信とホストの侵害に利用できる、常にオープンで見落とされがちなプロトコルを探している攻撃者にとって、DNSは最適な選択肢となります。ここで注目すべきは、DNS関連の手法が観測されるのは、こうした高度な攻撃だけではないことです。使いやすい無料ツールが多数存在しているため、経験の浅い攻撃者でもDNSを利用した悪意のある操作を容易に遂行できます。そのため、攻撃者のスキルが不十分な場合でも、例えば、C2通信を隠蔽する手段としてDNSを使用することができます。こうしたコモディティツールにより、実際に報告される攻撃件数が大幅に増えています。
今日のセキュリティチームは、DNSレイヤーのセキュリティではなくWebプロトコルに目を向けがちです。マルウェアの80%がDNSを使用してC2を確立していることを考えれば、組織がDNSトラフィックを監視、分析することは急務であると言えます。そのためには、以下の機能を備えたセキュリティソリューションが必要です。
DNSベースの攻撃が進化していくように、DNSセキュリティも進化しなければなりません。DNSを悪用する攻撃者を阻止する方法について、詳細をご確認ください。
今日の組織は、サイバーセキュリティの従来型アプローチでは対応できないニーズを抱えています。DNSベースの攻撃は、そうした領域の1つにすぎません。ネットワークセキュリティに適応する方法について、私たちのビジョンをお読みください。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.