遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 | セキュリティ対策のラック

経緯と概要 当社が運営する緊急対応サービス「サイバー119」は、昨年の後半より複数の大手企業様より遠隔操作ウイルスに関連する対応要請を受け、調査を行ってまいりました。 これらの事案で発見された遠隔操作ウイルスを調査したところ、攻撃者がインターネット側から企業内ネットワークで動作する遠隔操作ウイルスを操る際に、DNSプロトコルを使用するDNSトンネリングとも言われる手口を利用していることが確認されました。 これまでの代表的な遠隔操作ウイルスにおいては、Web閲覧で用いられるHTTP（S）プロトコルを使用し、Webサーバを模した指令サーバを使用しています。しかしながら今回はDNSサーバを模した指令サーバを構築していることが確認されました。 図1：Web閲覧におけるDNSの動き DNSプロトコルはインターネットにおいて、ドメイン名（FQDN）からIPアドレスなどの情報を得るためにDNSサーバとの

[stealthinu]

DNSの問い合わせを利用して遠隔操作を行なう手法。サブドメイン名の部分を使って暗号化した文字列を詰め込む。DNSはフィルタしないしログ取らないからここを使うというわけね。

[kuniharumaki]

ログは取ってるけど、リアルタイムで見つけるのは無理だな、これは。。

[syakinta]

謎のご主人様

[tea2ka]

VPN over DNS とか VPN over ICMPとかいろいろあったが、実用（悪用だが）になるのだな

[airj12]

賢いなあ…

[dekaino]

このコンセプトは9年前に存在した http://www.symantec.com/ja/jp/security_response/print_writeup.jsp?docid=2007-062908-2551-99

[wushi]

NetDetector歓喜

[ya--mada]

乗っ取られた端末を見つけなきゃいけないので、ロギング出来るネームサーバーを作らんといかん。その為には外の名前解決をさせないNWにしないといけない。

[yooks]

へー。きちんと対処しようとするとかなり丁寧にコツコツやらなきゃダメなのか。

[ssids]

キャッシュサーバ上でサブドメインごとブラックリスト化すれば対処はできるけど、この手の悪いことに使うドメインは次々と新しいの取って使うからなぁ・・・

[iqm]

手法は以前からのものと同じに見えるけど、ここでわざわざ注意喚起したってことはなんかあったんかな。

[s_nagano]

dnsヤバイ？

[kura-2]

ほう…

[mkusunok]

これは確かに賢い。web proxyだけでなくDNS resolverにもreputationを突っ込まなきゃならないとなると、さらに費用が嵩むことに orz

[yumu19]

おぉ。

[nilnil]

マルウェア通信路として下手に切れないDNSに走るのは必然かねぇ。

[Shinwiki]

infoblox先行導入提案が活きてまいりましたよw

[orenonihongogayabai]

ここ数年のDNSの人気っぷりは異常

[tuisumi]

ほんと次々アレコレよう考えるもんだな

[m_m3zono]

いろんな手を考えるなー。感心してしまう。

[umakoya]

すごいことを考えるもんだ。指令サーバからの指示（レスポンス）って、これもサブドメイン部分で指示を出すの？TXTレコードを利用するの？

[rryu]

確かにDNSの通信は制限しづらいからうまいところを突いてくるな。

[amd64x64]

DNS同士も認証が必要か

[azumi_s]

また七面倒くさいものが…

[oopsops]

DNSのポート使って偽装するタイプは昔からあったと思うけど、レコードまで使って正規の問い合わせに偽装してるのか