HOME»情報処理安全確保支援士掲示板»令和3年秋 午後Ⅱ 問2 設問3(1)
投稿する
令和3年秋 午後Ⅱ 問2 設問3(1) [1755]
AP2さん(No.1)
答えは「マルウェア内にFQDNで指定したC&CサーバのIPアドレスの変更」
でした。IPアドレスをFQDNに変えるのはDNSが行うことだと
認識しているのですが、本問のような場合はDNSを通らない
ということでしょうか?本ケースの場合の流れのようなものを
分かりやすく教えて頂けますと大変有り難いです!お願いします。
でした。IPアドレスをFQDNに変えるのはDNSが行うことだと
認識しているのですが、本問のような場合はDNSを通らない
ということでしょうか?本ケースの場合の流れのようなものを
分かりやすく教えて頂けますと大変有り難いです!お願いします。
2024.10.06 16:51
pixさん(No.2)
★SC ダイヤモンドマイスター
発想が違います。
UTMにはIPアドレスでしか通信拒否できません。
しかし、問題発生時点のC&CサーバのFQDNを正引きした結果のIPアドレスを
UTMのIPリストに登録したとしたとします。
DNSの管理は攻撃者側ですので、すぐにDNS側でFQDNとIPアドレスの設定を
変更されてしまい、IPリストをすり抜けてしまいます。
このIPアドレスを高速に変更する方法はFastFlux手法という攻撃方法として
確立されています。
IPAの試験でもNWやSCで問われる攻撃手法なので、知識として押さえておく
必要があります。
UTMにはIPアドレスでしか通信拒否できません。
しかし、問題発生時点のC&CサーバのFQDNを正引きした結果のIPアドレスを
UTMのIPリストに登録したとしたとします。
DNSの管理は攻撃者側ですので、すぐにDNS側でFQDNとIPアドレスの設定を
変更されてしまい、IPリストをすり抜けてしまいます。
このIPアドレスを高速に変更する方法はFastFlux手法という攻撃方法として
確立されています。
IPAの試験でもNWやSCで問われる攻撃手法なので、知識として押さえておく
必要があります。
2024.10.06 17:08
AP2さん(No.3)
なるほど…勉強になります。
教えてくださりありがとうございます。
教えてくださりありがとうございます。
2024.10.06 17:52