マルウェアの遠隔操作にDNS悪用の新たな手口、ラックが注意喚起


セキュリティ企業のラックは2月1日、サイバー攻撃者がマルウェアの遠隔操作にDNSプロトコルを使う新たな手口が広がっているとして注意を呼び掛けた。企業では管理が手薄になっている場合が多いといい、同社は「至急確認してほしい」としている。

マルウェア (malware) とは、不正かつ有害な動作を行う意図で作成された悪意のある ソフトウェアや悪質なコードの総称である。

→wikipedia参照

DNSは、ホスト名(例えば”ja.wikipedia.org”)の入力があるとDNSサーバ と呼ばれる コンピュータを参照し、そのホストのもつ IP アドレス(例えば”130.94.122.197″)を検索 するシステムである。

→wikipedia参照

ラックによると、代表的なマルウェアの遠隔操作ではWeb閲覧のHTTP(S)プロトコルが使われ、マルウェアは攻撃者が設置するWebサーバに模したC&C(コマンド&コントロール)サーバに接続する。しかし、2015年後半から複数の大企業でDNSプロトコルを用いる「DNSトンネリング」と呼ばれる手口が使われるケースが相次いで見つかったという。

C&Cサーバーとは、サイバー犯罪に関する用語で、マルウェアに感染してボットと化した コンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となる サーバーのことである。

dnstrngatk01.jpg 「DNSトンネリング」にイメージ(ラックより)

同社の調査では、何らかの方法で遠隔操作型マルウェアに感染した企業内のクライアントコンピュータから通常では考えられないDNSパケットが送信されているのを確認。DNSサーバへのクエリにドメイン名やサブドメイン名、ホスト名などが含まれるが、サブドメイン名は標的もしくは攻撃の作戦名と想定される内容だった。しかし、調査時点でDNSサーバは存在しておらず、実際にどのような通信が行われたのかは不明だとしている。

クエリ とは データベース管理システムに対する問合せ(処理要求)のこと。 データの抽出や更新などの処理要求を文字列で表す。 処理対象のテーブルやデータの抽出条件、並べ方などを指定する。

→ITトレンド参照

DNSプロトコルは、インターネット接続などの際にドメイン名からIPアドレスなどの情報を得て目的のコンピュータへ接続する際に利用されることから正常な通信とみなされ、企業や組織で制限することはほとんど無い。また、反応速度への影響を考慮してアクセスログなどを保存しているケースも少ないという。こうしたことから、セキュリティ対策製品での検知が非常に難しく、不審な通信を見つけても詳しい調査も困難になるという。

ラックでは対応策と以下の作業や確認を実施してほしいと呼び掛けている。

  1. 現在のDNSサーバへのアクセス状況を確認。内部DNSのアクセスログから、また、ネットワークパケットを収集して不正なリクエストを発見する
  2. 指令サーバとして稼働しているDNS通信(UDP/53、TCP/53)を拒否する
  3.  DNSアクセスの制限し、プロキシサーバを活用する
  4. 不正なパケットを送出しているクライアントを特定する
  5. 遠隔操作ウイルスを隔離する

プロキシ(Proxy)とは「代理」の意味である。インターネット関連で用いられる場合は、 特に内部ネットワークからインターネット接続を行う際、高速なアクセスや安全な通信 などを確保するための中継サーバ「プロキシサーバ」を指す。

→wikipedia参照

dnstrngatk02.jpg

3 thoughts on “マルウェアの遠隔操作にDNS悪用の新たな手口、ラックが注意喚起

  1. Pingback: Peruvian alpaca clothing the best alpaca shop of peruvian clothing

  2. Pingback: S/M

  3. Pingback: TS TV Escorts from London

Comments are closed.