KEEP LEARNING

アウトプット至上主義

【DNS】マルウェア対応

f:id:food_blog:20200618004009p:plain

本記事ではセキスペ 過去問(R.01/秋 午後I 問2)を例題として解説する中でマルウェア対応の理解を深めます。

※IPA公式サイトから実際の問題を使用しております。 

 

1.前提知識

  • ディジタル署名

 

2.知識のインプット

権威DNSサーバ

権威DNSサーバとは問い合わせに対して自身の管理情報だけで回答できるDNSサーバを指す。

これに対し、問い合わせを他のDNSサーバに委託するDNSサーバをDNSキャッシュサーバという。

再帰問い合わせ

DNSサーバにおける再帰問い合わせとは問い合わせに対して、名前解決ができない場合は”存在しない”と回答をすることを指す。

逆に名前解決ができなかった場合に他のDNSサーバに問い合わせを実施することを非再帰問い合わせという

EDR(Endpoint Detection and Response)

EDRとはエンドポイントの監視を強化するため、標的型攻撃やランサムウェアによるサイバー攻撃を検出して対応するためのソリューション

EDRはPC端末等のエンドポイント上の動作を常時監視及びログを取得し不正な動作がないか分析する

 

3.背景

 

最近、攻撃対象ごとにマルウェアなどを用意する攻撃が増えている。そういった攻撃に対応するため、IASCなどの脅威インテリジェンスを共有する組織を活用し、インシデント対応を行うケースが増えていためインシデント対応力について問う 

4.過去問の要約

f:id:food_blog:20200617231736p:plain

f:id:food_blog:20200617231828p:plain

f:id:food_blog:20200617231852p:plain

f:id:food_blog:20200617231951p:plain

f:id:food_blog:20200617232020p:plain

 

5.解説

 図3の下線①通信が遮断された理由は以下です。

表2に記載のある通りPCからインターネットに接続際にはプロキシでBASIC認証(ID/PASSWORD)が必要となります。

したがって、ここではBASIC認証を突破できず遮断されたと考えれます。

 

図3のaにはFWが入る

図1の通りPCから別セグメントへアクセスする際は必ずFWを通ります。そして表2に記載がある通り、FWは動作ログを取得するとあるのでFWが適切となります。

 

情報持ち出し成功時に残る痕跡 

 上記、下線②について持ち出しが成功した可能性が高いと判断できる痕跡として以下二つが考えられます。

グローバルIPアドレスMへのHTTP通信成功のログ

パブリックDNSサービスLへのDNS通信ログ

図3にマルウェアPはHTTP通信を試みたが遮断された、図2のC&C通信にはHTTP又はDNSプロトコルを利用すると記載がありますので上記が理由として考えることができます。

 

本文中の下線③についてISACに伝える情報のうち、他者がEDRなどセキュリティ対策ソフトウェア又はセキュリティ機器を用いて感染端末を検出する際に有効であり、共有すべき内容としては以下になります。

マルウェアPとマルウェアRがHTTPに通信を試みたグローバルIPアドレス

マルウェアPとマルウェアRが配置されていたフォルダNのパス名

これらの情報はZ社に依存する情報ではなく、他者にとっても有益な情報となります。

対象グローバルIPアドレスへの接続の監視や対象配置パスの監視は今回のマルウェアの検出に役立たせることができます。

 

ディジタル署名を検証すれば、正規実行ファイルか否かを判定できる。 

 今回ここで検証に利用する証明書としてはコードサイニング証明書が適切です。

コードサイニング証明書とはソフトウェアに対して電子署名を行うものであり、配布元の証明や内容が改竄されていないことを検証できます。

 

プロキシ認証情報を搾取して 

 ここでプロキシ情報の搾取が可能である可能性がある攻撃手法を以下に記載します。

Webブラウザのオートコンプリート情報の搾取

キーロガーによる攻撃

総当たり攻撃

偽BASIC認証フォームへの誘導

ネットワーク盗聴

 

FWのフィルタリングルールを変更する 

”マルウェアがパブリックDNSサービスを利用してC&C通信を行う” この通信を遮断するためにはフィルタリングルールを以下のように変更する必要があります。

項番3:DMZ(送信元) インターネット(宛先) DNS(サービス) 許可(動作)

とあるのでDMZにあるDNSから公開DNSへアクセスできれば良いので、DMZからのみ公開DNSアクセスを許可するよう設定を変更します。

 

表3のb,c,dにはそれぞれ以下が入ります。

b:権威DNSサーバ c:外部DNSサーバ d:再帰的クエリ

上記のように設定されることで外部DNSサーバ宛に対して再帰的クエリを送信し、権威DNSサーバからC&Cサーバの名前解決がされ、マルウェアはC&C通信ができるようになってしまいます。

 

攻撃者が大量の情報を持ち出す場合は以下の特徴があります。

長いホスト名をもつDNSクエリの発生

特定のドメインに対する多数のDNSクエリの発生

C&C通信では記載のある通り、データを一定サイズに分割して通信するとあるのでデータ量が大量になればその分、DNSクエリの発行も多くなります。