Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DNSで遠隔操作されるマルウェアの感染を複数確認 - ラック

ラックは、遠隔操作に対応したマルウェアが、外部との通信にDNSプロトコルを悪用しているケースを複数確認しているとして注意を呼びかけた。

20160201_la_001.jpg
マルウェアの動き(図:ラック)

同社が2015年後半に複数の顧客を対象とした緊急対応調査から、DNSプロトコルを悪用するケースを確認しており、注意を喚起したもの。

DNSクエリの「ホスト」や「サブドメイン」の部分に情報を埋め込み、「TXTレコード」を要求する通常の通信では見られない異常なDNSクエリを外部へ送信していることを発見、解析した。

サブドメイン部分に標的となる組織や作戦名などの情報を埋め込んでいると同社は分析。少なくとも5種類のサブドメインが悪用されていることを確認しており、複数の組織へ攻撃が拡大している可能性もあるという。

またホスト名の部分には、暗号化したと見られる30文字以上の文字列が含まれていた。すでに相手先のDNSサーバは動作しておらず、命令が含まれると見られる応答内容はわかっていない。

DNSクエリに関しては、ログを保持していない企業がほとんどで、通信内容を把握することが困難であったり、通信先の指令サーバを変更されてしまうなど対策が難しいと同社は指摘している。

インターネット環境では、DNSプロトコルの通信が許可されているケースが多いため、悪用されたとみられる。DNSプロトコルが悪用されたのは今回がはじめてではない。2011年に発見されたマルウェア「Morto」でも確認されている

同マルウェアは、RDPで感染広げるワームだが、外部から命令を受け取るため、C&CサーバとなるDNSの「TXTレコード」を参照。マルウェアのダウンロード先となるIPアドレスなどの情報を得ていた。

(Security NEXT - 2016/02/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

12月のDDoS攻撃件数は増加、最大規模も拡大 - IIJ調査
2022年12月のフィッシングURL、7カ月ぶりの1万件台
機械学習フレームワーク「PyTorch」に不正プログラム混入のおそれ
10月は9月同様の大規模DDoS攻撃は観測されず - IIJ調査
DDoS攻撃の観測件数が減少、一方で100Gbps超の攻撃も - IIJレポート
メール転送エージェント「Exim」のDMARC関連処理に脆弱性
「Apache Commons Text」に脆弱性「Text4Shell」 - 冷静な対応を
DNSサーバ「BIND」に6件の脆弱性 - アップデートがリリース
EGセキュア、クラウド型WAFサービスを提供 - CMS向け設定や国別フィルタも
7月のDDoS攻撃、前月から微増 - IIJレポート