Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

DNSで遠隔操作されるマルウェアの感染を複数確認 - ラック

ラックは、遠隔操作に対応したマルウェアが、外部との通信にDNSプロトコルを悪用しているケースを複数確認しているとして注意を呼びかけた。

20160201_la_001.jpg
マルウェアの動き(図:ラック)

同社が2015年後半に複数の顧客を対象とした緊急対応調査から、DNSプロトコルを悪用するケースを確認しており、注意を喚起したもの。

DNSクエリの「ホスト」や「サブドメイン」の部分に情報を埋め込み、「TXTレコード」を要求する通常の通信では見られない異常なDNSクエリを外部へ送信していることを発見、解析した。

サブドメイン部分に標的となる組織や作戦名などの情報を埋め込んでいると同社は分析。少なくとも5種類のサブドメインが悪用されていることを確認しており、複数の組織へ攻撃が拡大している可能性もあるという。

またホスト名の部分には、暗号化したと見られる30文字以上の文字列が含まれていた。すでに相手先のDNSサーバは動作しておらず、命令が含まれると見られる応答内容はわかっていない。

DNSクエリに関しては、ログを保持していない企業がほとんどで、通信内容を把握することが困難であったり、通信先の指令サーバを変更されてしまうなど対策が難しいと同社は指摘している。

インターネット環境では、DNSプロトコルの通信が許可されているケースが多いため、悪用されたとみられる。DNSプロトコルが悪用されたのは今回がはじめてではない。2011年に発見されたマルウェア「Morto」でも確認されている

同マルウェアは、RDPで感染広げるワームだが、外部から命令を受け取るため、C&CサーバとなるDNSの「TXTレコード」を参照。マルウェアのダウンロード先となるIPアドレスなどの情報を得ていた。

(Security NEXT - 2016/02/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

サービス終了した「Visionalist」のタグ、約800サイトに残存 - 一時水飲み場攻撃と同じスクリプトも配信
国内主要上場企業の約半数がDMARC導入 - 対象ドメインの12.1%
「BIND」の「DNS over HTTPS」に脆弱性 - DoS攻撃のおそれ
クラウド処理を活用、「PAN-OS 10.2 Nebula」をリリース - パロアルト
「BIND 9」に複数の脆弱性 - サービス拒否やキャッシュ汚染のおそれ
広島県にDDoS攻撃 - 県や市町のウェブ閲覧や防災メール配信に影響
Cisco製メールセキュリティ製品にDoS攻撃を受けるおそれ
12月のDDoS攻撃、件数微減となるも最大規模は拡大 - IIJ調査
11月のDDoS攻撃は前月から微増、2.7時間にわたる攻撃も - IIJ調査
「Log4Shell」の悪用、国内でも多数検知 - 国内で被害も