This post is also available in: English (英語)
ドメイン ネーム システム(DNS)は、ヒューマンフレンドリーなURLをマシンフレンドリーなIPアドレスに変換するプロトコルで、実質的にインターネットの電話帳として機能しています。これは事業運営上欠かせない要素であることから、DNSトラフィックにはファイアウォールを通過することや、ネットワークオペレータにブロックされないことが求められています。ところがこれが、このプロトコルを脅威アクターにとっても格好の標的にしています。ここ数年、企業ネットワークに対してはDNSベースのさまざまな攻撃が展開されています。
多くの場合、攻撃者はDNSを使用してコマンド&コントロール(C2)を確立します。そしてC2の確立は、ネットワークへの不正アクセスやラテラルムーブ(横展開)、データ漏出へとつながります。DNSトラフィックの悪用やC2の阻止のため、セキュリティの強化が図られてきましたが、攻撃者の戦術と手法も進化しています。
進化するDNSベースの攻撃
以下にDNSを悪用する脅威アクターが用いる高度な攻撃のほんの一部を取り上げます。
- DNSトンネリング – 攻撃者はDNSリゾルバを使用して、トンネリングプログラムがインストールされているC2サーバーにクエリをルーティングします。DNSリゾルバを介して被害者と攻撃者の間に接続が確立すると、データ漏出などの不正目的遂行のためにこのトンネルが使用されます。
- ドメイン生成アルゴリズム(DGA) – 攻撃者はマルウェアがドメインのリストを即座に生成できるようDGAを開発しています。こうして作成されたドメインがC2のコマンド提供やマルウェアからの情報取得に使用されます。DGAを使用する攻撃者が多い理由は、マルウェア攻撃に使用するドメインをすばやく切り替えられるようにするためです。セキュリティソフトウェアとベンダが悪意のあるドメインのブロックと削除をつぎつぎ行ってくるのでその対策です。
- 高速フラックス(ファストフラックス) – 攻撃者は、悪意のあるドメイン名ごとに複数のIPアドレスを設定し、せわしなく切り替えることで、IPベースの制御を回避します。これにより、脅威ハンターが攻撃者の場所を突き止めるのを困難にしています。
- 悪意のある新規登録ドメイン(NRD) – 新規登録ドメインとは、この1か月間(正確には33日間)に登録されたドメインのことです。攻撃者は、ユーザーをだましてクリックさせるため、正規ドメイン名をわずかに変更しただけのドメインを作成することが少なくありません。検出を困難にするため、この悪意のあるNRDはごく短期間しかアクティブにならないのがふつうです。
DNS攻撃の実態
DNSベースの攻撃は新しいものではなく、すでに蔓延しています。最近もUnit 42はDNSを悪用して不正な目的を達成した複数のマルウェアと背後の脅威アクターを複数の事例で確認しています。
DNSトンネリング攻撃の実態
中東で活動している脅威アクターのOilRigは、C2との通信にカスタムDNSトンネリングプロトコルを使用するツールを作成しました。この脅威アクターは、このツールを通信の主要チャネルとして使用するだけでなく、最初に設置した通信が正しく機能しない場合はフォールバックチャネルとしても使用することができました。
Unit 42はまた、中東の政府機関を標的にした脅威アクターのxHuntがSnugyと呼ばれるバックドアを使用していることも確認しました。このバックドアは、C2サーバーと通信するためにDNSトンネリングを使用しました。具体的には、DNS Aレコード検索を実行し、攻撃者が制御しているC2ドメインをカスタマイズしたサブドメインを解決することで行われました。
DGAの使用実態
DGAを取り入れた攻撃者の最近の代表例が、SolarWindsのサプライチェーンを侵害したSUNBURSTバックドアです。SUNBURSTはDGAを使用して検出を回避し、マシンドメイン名、サーバー名、その他の識別子などの基本システム情報をエンコードしました。SUNBURSTは、攻撃者と連絡をとるために要求を送信します。この要求に含まれる識別情報に基づいて、攻撃者は第2段階の攻撃を仕掛けるかどうかを判断します。
高速フラックスの実態
私たちは、Smoke Loaderマルウェアファミリに関連する複数のC2ドメインを検出しました。このマルウェアをインストールすると、バックドアとして機能します。これにより、攻撃者は悪意のあるペイロードをC2サーバーからダウンロードできるようになります。ダウンロードするペイロードは、ランサムウェアから情報盗難まで多岐にわたります。私たちは、2週間未満の期間で約100個のIPアドレスに解決されるドメインを観測しました。
悪意のあるNRDの実例
公式のCOVID-19関連リソースを偽装した悪意のあるNRDを多数作成することで、攻撃者はパンデミックを巧みに利用しました。攻撃者の標的は、パンデミックに関連した現在の出来事に応じて変わりました。パンデミックの初期段階では、COVID-19に関連した情報や検査キットを探している人々が攻撃者の標的となりました。その後、政府関連を謳ったNRDへの移行が観測されました。救済プログラムのアプリケーションを装い、ユーザーをだまして個人情報を提供するように仕向けたのです。標的はさらに変化し、現在の脅威アクターはワクチン関連のように見えるドメインを登録しています。
DNS攻撃の容易化
C2通信とホストの侵害に利用できる、常にオープンで見落とされがちなプロトコルを探している攻撃者にとって、DNSは最適な選択肢となります。ここで注目すべきは、DNS関連の手法が観測されるのは、こうした高度な攻撃だけではないことです。使いやすい無料ツールが多数存在しているため、経験の浅い攻撃者でもDNSを利用した悪意のある操作を容易に遂行できます。そのため、攻撃者のスキルが不十分な場合でも、例えば、C2通信を隠蔽する手段としてDNSを使用することができます。こうしたコモディティツールにより、実際に報告される攻撃件数が大幅に増えています。
DNSセキュリティに必要なものは何か
今日のセキュリティチームは、DNSレイヤーのセキュリティではなくWebプロトコルに目を向けがちです。マルウェアの80%がDNSを使用してC2を確立していることを考えれば、組織がDNSトラフィックを監視、分析することは急務であると言えます。そのためには、以下の機能を備えたセキュリティソリューションが必要です。
- DNSトラフィックのインラインでの検査 – DNSトラフィックのパケットを分析するだけでなく、当然ながら、それを回線速度で実行する必要があります。
- 機械学習の活用 – 自動化された攻撃に打ち勝つためには自動化が必要です。攻撃が開始される前に、DNSベースの脅威を分析、検出、さらには予測するアルゴリズムを使用する必要があります。
- 拡張性 – 単純な静的シグネチャは既知の悪意のあるドメインは阻止できますが、高度なDNS脅威は防御できません。適用範囲を最新の状態に保つ、クラウドベースのソリューションが必要です。
- 高品質データの使用 – 機械学習の価値はトレーニングするデータによって決まります。攻撃を認識して低い偽陽性率を維持するには、実際の脅威データを大量に使用することが重要です。
- 特定の攻撃手法の防御 – APT攻撃の脅威アクターは、DGA、DNSトンネリング、高速フラックスなどの手法を活用してセキュリティコントロールを回避します。これらの手法は絶えず進化しており、セキュリティソリューションはそれに対応する必要があります。
- 豊富なコンテキストへのアクセス提供 – DNSセキュリティイベントを迅速に修復し、先を見越してセキュリティ体制を最適化するために、組織は、DNSトラフィックの完全な可視性とコンテキストを確保する必要があります。
DNSベースの攻撃が進化していくように、DNSセキュリティも進化しなければなりません。DNSを悪用する攻撃者を阻止する方法について、詳細をご確認ください。
今日の組織は、サイバーセキュリティの従来型アプローチでは対応できないニーズを抱えています。DNSベースの攻撃は、そうした領域の1つにすぎません。ネットワークセキュリティに適応する方法について、私たちのビジョンをお読みください。