ドメイン ネーム システム攻撃に関する最新のレポートを検索する場合、IDC の 2021 年のレポートで、2020 年に組織の 87% が DNS 攻撃を経験したと述べられているため、見つけるのが難しい場合があります。
DNSが攻撃チェーンに実際に組み込まれる多くの攻撃において、主要な用語として意識されていないという事実は、DNS over TLSやDNS over HTTPのセキュリティに関する複雑な仕組みに関係している可能性があります。CloudFlareのレポートで説明されているように、TLSとHTTPはプレーンテキストのDNSクエリを暗号化し、ブラウジングの安全とプライバシーを確保します。
参照: Googleの2FAは暗号化されていない可能性があり、モバイルデバイスへの扉がロック解除される可能性があります
それでも、Akamai の第 3 四半期の DNS 脅威レポートでは、昨年の同四半期に DNS 攻撃が 40% 増加し、保護されているすべてのデバイスの 14% が昨年の第 3 四半期に少なくとも 1 回は悪意のある宛先と通信したと報告されています。
ジャンプ先:
- 専門家専用の新しいステルスツールキット
- ロシアの猟犬
- ネズミの子犬
- 小型で異常なツールキットには隠れたリスクがある
専門家専用の新しいステルスツールキット
毎日数十億の DNS レコードと数百万のドメイン関連レコードを分析しているという Infoblox Threat Intelligence Group は、Pupy と呼ばれるリモート アクセス型トロイの木馬を使用する Decoy Dog と呼ばれる新しいマルウェア ツールキットを報告しました。
Infobloxの脅威インテリジェンス担当シニアディレクター、レニー・バートン氏は、Pupyはオープンソース製品であり、使い方が非常に難しく、十分なドキュメントも整備されていないと述べています。Infobloxの調査によると、Pupyを使用するDecoy Dogツールキットは全ネットワークの3%未満で利用されており、Decoy Dogを操る脅威アクターはわずか18のドメインに接続していることがわかりました。
「一連の異常検知システムを通じて発見し、デコイ・ドッグの活動が2022年4月初旬から1年以上にわたり、データ窃取のためのコマンド&コントロール(C2)システムを運用していたことが判明しました」とバートン氏は述べた。「他に誰も知りませんでした。」
ロシアの猟犬
Infoblox が外部のグローバル DNS データ内のクエリを分析したところ、同社の研究者は Decoy Dog C2 がほぼすべてロシアのホストから発信されていることを発見しました。
「最大の危険の一つは、それが何なのか誰も知らないことです」とバートン氏は述べた。「つまり、何かが侵害され、誰かがそれを制御しているが、それが何なのか誰も知らないということです。これは非常に異例なことです。シグネチャが何なのかは分かっていますが、それが何を制御しているのかは分かりませんし、ここにいる誰も知りません。」
バートン氏は、コマンド&コントロールによって敵対者がシステムを乗っ取ることが可能になると説明した。「あなたのメールアドレスをすべて渡すよう命令できます。ファイアウォールなら電源をオフにするよう命令できますし、ロードバランサーならDDoS攻撃を仕掛けるよう命令できます」と彼女は述べた。
バートン氏によると、Pupyは過去に国家活動と関連付けられてきたが、それは参入障壁の高さによるものではないという。「Pupyは複雑なマルチモジュール型トロイの木馬で、C2通信を行うためのDNSネームサーバーの設定方法について、ユーザーに一切指示を提供していません。そのため、一般的なサイバー犯罪者が簡単にアクセスすることはできません」と彼女は述べた。
ネズミの子犬
技術者がリモートコンピュータ上で新しいシステムをリモートからデモしたり、直接修正を依頼したりするサービスなど、リモートアクセス技術の正当な利用方法と同様に、RATはインストールが容易で、計算速度の変化によって存在が明らかになることはありません。メール、ビデオゲームなどのソフトウェア、さらには広告やウェブページを介して配布されることもあります。Pupyは、特定のC2機能を備えたRATです。
バートン氏によれば:
- RAT はシステムへのアクセスを提供します。
- 一部の RAT は C2 インフラストラクチャを使用して、侵害されたマシンのリモート制御を可能にします。
- Pupy は、主に Python で書かれた、検出が非常に困難な、複雑なクロスプラットフォームのオープンソース C2 ツールです。
- Decoy Dogは、DNSシグネチャによって設定方法と動作方法が明らかになったPupyの非常に稀な展開例です。Infobloxによると、このシグネチャに一致するドメインは3億7000万件のうちわずか18件です。
RATマルウェアの一般的な使用例としては、攻撃者がノートパソコンへのリモートアクセスを取得し、それを脅威アクターに貸し出し、そのコンピュータのアクセスネットワークを通じてさらにマルウェアを拡散させるといったことが挙げられます。「これはノートパソコンをボットネットの一部にする方法の一つです」とバートン氏は述べています。「こうした状況は非常に一般的です。」
小型で異常なツールキットには隠れたリスクがある
Decoy Dogは規模が小さいとはいえ、隠蔽型RAT(出所が不明瞭で目に見えないマルウェア)には固有のリスクが伴います。バートン氏は、イスラエルのサイバー兵器企業NSOグループが開発した2018年のC2スパイウェア「Pegasus」マルウェアを例に挙げています。PegasusはAndroid、iOS、Symbian、BlackBerryのモバイルデバイスに侵入して制御するように設計されており、ハッカーが監視目的でスマートフォンのカメラ、位置情報、マイク、その他のセンサーにアクセスできるようになります。
アムネスティ・インターナショナルは、サウジアラビア政府が政府工作員によって殺害されたジャマル・カショギ氏の家族をスパイするためにペガサスを利用したとされる事件に介入した。
アムネスティ・インターナショナルのセキュリティラボは最近、2年間も検知されずに存在し、GoogleのAndroidオペレーティングシステムに対してゼロデイ攻撃を仕掛ける別の商用スパイウェアを発見しました。「調査の結果、アムネスティからの報告よりずっと前に、これらのドメインの89%をブロックしていたことが判明しました。そのため、お客様は保護され、アムネスティの主張を裏付けることができました」とバートン氏は述べています。
