Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DNSで遠隔操作されるマルウェアの感染を複数確認 - ラック

ラックは、遠隔操作に対応したマルウェアが、外部との通信にDNSプロトコルを悪用しているケースを複数確認しているとして注意を呼びかけた。

20160201_la_001.jpg
マルウェアの動き(図:ラック)

同社が2015年後半に複数の顧客を対象とした緊急対応調査から、DNSプロトコルを悪用するケースを確認しており、注意を喚起したもの。

DNSクエリの「ホスト」や「サブドメイン」の部分に情報を埋め込み、「TXTレコード」を要求する通常の通信では見られない異常なDNSクエリを外部へ送信していることを発見、解析した。

サブドメイン部分に標的となる組織や作戦名などの情報を埋め込んでいると同社は分析。少なくとも5種類のサブドメインが悪用されていることを確認しており、複数の組織へ攻撃が拡大している可能性もあるという。

またホスト名の部分には、暗号化したと見られる30文字以上の文字列が含まれていた。すでに相手先のDNSサーバは動作しておらず、命令が含まれると見られる応答内容はわかっていない。

DNSクエリに関しては、ログを保持していない企業がほとんどで、通信内容を把握することが困難であったり、通信先の指令サーバを変更されてしまうなど対策が難しいと同社は指摘している。

インターネット環境では、DNSプロトコルの通信が許可されているケースが多いため、悪用されたとみられる。DNSプロトコルが悪用されたのは今回がはじめてではない。2011年に発見されたマルウェア「Morto」でも確認されている

同マルウェアは、RDPで感染広げるワームだが、外部から命令を受け取るため、C&CサーバとなるDNSの「TXTレコード」を参照。マルウェアのダウンロード先となるIPアドレスなどの情報を得ていた。

(Security NEXT - 2016/02/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「BIND 9」に複数脆弱性 - 影響範囲広く緊急対応を
MS、2月の月例セキュリティ更新をリリース - ゼロデイ脆弱性2件に対応
2023年12月のDDoS攻撃、前月比3割減 - 規模も縮小
DDoS攻撃が大幅減 - 一方で約147Gbps超の攻撃も
【特別企画】導入進む「DMARC」、一方で不安も - トラブル回避のコツは?
9月に399件のDDoS攻撃を観測、前月比1割減 - IIJレポート
「CODE BLUE 2023」のタイムテーブル - 脆弱性関連の講演充実
「BIND 9」に複数の脆弱性 - アップデートが公開
研究者が脆弱性「TunnelCrack」を発表 - 多くのVPNクライアントに影響
「DNS不正利用」のインシデント対応を支援する資料 - JPCERT/CC