Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DNSで遠隔操作されるマルウェアの感染を複数確認 - ラック

ラックは、遠隔操作に対応したマルウェアが、外部との通信にDNSプロトコルを悪用しているケースを複数確認しているとして注意を呼びかけた。

20160201_la_001.jpg
マルウェアの動き(図:ラック)

同社が2015年後半に複数の顧客を対象とした緊急対応調査から、DNSプロトコルを悪用するケースを確認しており、注意を喚起したもの。

DNSクエリの「ホスト」や「サブドメイン」の部分に情報を埋め込み、「TXTレコード」を要求する通常の通信では見られない異常なDNSクエリを外部へ送信していることを発見、解析した。

サブドメイン部分に標的となる組織や作戦名などの情報を埋め込んでいると同社は分析。少なくとも5種類のサブドメインが悪用されていることを確認しており、複数の組織へ攻撃が拡大している可能性もあるという。

またホスト名の部分には、暗号化したと見られる30文字以上の文字列が含まれていた。すでに相手先のDNSサーバは動作しておらず、命令が含まれると見られる応答内容はわかっていない。

DNSクエリに関しては、ログを保持していない企業がほとんどで、通信内容を把握することが困難であったり、通信先の指令サーバを変更されてしまうなど対策が難しいと同社は指摘している。

インターネット環境では、DNSプロトコルの通信が許可されているケースが多いため、悪用されたとみられる。DNSプロトコルが悪用されたのは今回がはじめてではない。2011年に発見されたマルウェア「Morto」でも確認されている

同マルウェアは、RDPで感染広げるワームだが、外部から命令を受け取るため、C&CサーバとなるDNSの「TXTレコード」を参照。マルウェアのダウンロード先となるIPアドレスなどの情報を得ていた。

(Security NEXT - 2016/02/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

暗号資産取引所「Liquid」、DNSが改ざん被害 - 本人確認用データなど流出か
暗号資産取引所でドメインレジストラの登録内容が改ざん被害
米政府、医療分野を標的としたランサムウェアに注意喚起 - DNSで通信して検知回避
9月のDDoS攻撃、前月比約1割増 - 攻撃の規模や継続時間は縮小
DNSサーバ「PowerDNS Recursor」にサービス拒否の脆弱性
最新脅威やコロナ時代のセキュ課題など50以上のセッション - パロアルトがカンファレンスイベント
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
Windowsに危険度高い脆弱性「Bad Neighbor」 - ワーム発生に要警戒
8月のDDoS攻撃、件数は低水準だが長時間にわたる攻撃も - IIJ報告
「ランサムDDoS」を国内で観測 - 支払有無で結果変わらず