ラックから遠隔操作ウィルス(RAT)についてDNS通信を行うモノがあるという発表がされている。
こうしたDNSを使った脆弱性の存在は今に始まった事ではないが大きな組織だと中でDNSを立てている場合もあるので要注意だ。
クライアントPCは遠隔操作の指令をDNS通信を通じて取得し外部から遠隔操作を可能としてしまうのだ。
DNSプロトコルを利用した遠隔操作ウィルスの動き
ラックの発表によると今回発表されている脆弱性はDNSの仕組みと運用を大変うまく利用したものだ。
DNS自体は内部用/公開用ともにどこの組織にもあるものだしそのプロトコルは非常に一般的だ。
ゲートウェイでもDNSの通信はフリーパスな場合がほとんどだろう。
簡単に言うとDNSサーバーにウソの情報を仕込んでおく。
ユーザーがDNSに名前を引きに行くと攻撃者のサーバーのIPを返して仕込まれたウィルスと通信を行うという内容だ。
※画像は http://www.lac.co.jp/security/alert/2016/02/01_alert_01.html より引用
見つけにくい事が最大の危険をはらむ
使っているプロトコル自体は通常のDNS通信だし見つけることが大変難しい。
ラックによると次のような現状なのだ。
- 使用されているDNS通信単体では、特に異常があるわけではない。そのため、次世代型FWやプロキシ、IDSなどで検知することは困難。
- DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集していない。そのため、不正なリクエストが行われたか否かを確認することは困難。
- 指令サーバは生存期間が短いため、事後に調査しても何が行われたかを詳細に把握することは困難。
- 遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が困難。
ウィルス対策ソフトでも検知する事が困難であることが事を複雑にしている。
素人には難しい対策
ラックでは次のような対策を上げているが素人では難しい対応内容となっている。
- 現在のDNSサーバへのアクセス状況を確認する
1.1 内部DNSのアクセスログから不正なリクエストを発見する
1.2 ネットワークパケットを収集し不正なリクエストを発見する - 指令サーバとして稼動しているDNS通信(UDP/53,TCP/53)を拒否する
- DNSアクセスの制限と、プロキシサーバの活用
- 不正なパケットを送出しているクライアントを特定する
- 遠隔操作ウイルスの隔離
特にネットワーク内にDNSを立てている時はこのウィルスが仕込まれている可能性があるので注意する事が必要だ。
それにしてもDNSの仕組みと運用を本当にうまく利用したと感心する。
企業等でネットワークを管理している方は十分気を付けていただきたい。
今回はこのへんで
では