R1秋  午後1問2  設問2(5)

TKYさん  
(No.1)
設問に対しての質問というより、問題文に乗っているDNSサーバをC&Cサーバとする攻撃手法について仕組みを理解したいため、質問させていただきたいです。

本設問にあるDNSプロトコルを使った攻撃で、攻撃者はどのようにして情報を受け取るのでしょうか。
以下私の見解を書かせていただいておりますので、認識があっているのかを教えていただきたいです。

図2 E) (い) では、「摂取する情報を暗号化し、一定のサイズに分割する。」 
表3の項番3では「大量の情報を持ち出す場合、次の特徴が現れる。」の内容に「長いホスト名を持つDNSクエリの発生」
と記載されておりました。

上記より、
侵入したPCから窃取した情報を暗号化し、一定のサイズに分割したファイルの文字列をDNSクエリのホスト名欄に記載し、そのクエリを大量に送ることで、C&Cサーバにて、その文字列をつなぎ合わせて暗号文字列を復元する。
といった手法なのかなと考えましたが、認識合っておりますでしょうか。

どなたかお分かりになられましたら、ご教授いただけますとありがたいです。
2020.10.12 01:00
グルタミンさん 
(No.2)
はい、概ねそのような認識で合っていると思います。
このような攻撃手法を「DNSトンネリング」と言います。

概要としては
①PC側はホスト部に指示要求や指示の結果を記載した上で、攻撃者のDNSサーバに名前解決要求を行います。一回の名前解決要求で全部のデータは渡せないので、分割して何度も送信します。全部渡したら終了を意味するコードを最後に付与して送信します。
②攻撃者のDNSサーバは名前解決要求のレスポンスとして攻撃指示を渡します。
これはDNSサーバのレコードを名前解決要求が来るたびにリアルタイムで何度も書き換える事で実現します。
この時、一回のレスポンスで命令を全て渡しきるのは厳しいので、末尾に終了を意味するコードが出てくるまでPC側は何度も名前快活要求を投げます。

※ 終了を意味するコードはそのウイルス次第なので特に決まりはないです
2020.10.12 02:48
TKYさん  
(No.3)
この投稿は投稿者により削除されました。(2020.10.12 13:05)
2020.10.12 13:05
TKYさん  
(No.4)
グルタミンさん
ご回答ありがとうございました。

まずはDNSクエリーにより、情報を窃取しているという仕組みについて理解できました。

すみません、追加で1点質問させていただいてもよろしいでしょうか。
> ②攻撃者のDNSサーバは名前解決要求のレスポンスとして攻撃指示を渡します。
上記はDNSレスポンスをマルウェア感染したPCにC&Cサーバの攻撃指示として渡しているという認識でお間違いないでしょうか。

DNSレスポンスでDNSクライアントの挙動を命令するというイメージがあまり湧いていないのですが、
具体的にどのようなレコードで、どういった命令を送るとマルウェアは動作する仕組みなのでしょうか。

仕組みについていろいろ調べてみたのですが、ピンとくる記事が見つかっておりません。
もしご存じでしたら、DNSレスポンスによるDNSクライアントの操作ができる仕組みの名称等があれば教えていただけませんでしょうか。

お手数ですが、よろしくお願いいたします。
2020.10.12 13:06
TKYさん  
(No.5)
色々調べたところ、paloaltonetworkのリンクにそれらしき内容が記載されておりました。

以下引用:
マルウェアは返されたIPレスポンスを4,294,967,296通り(2^32通り、IPv4アドレス空間の全アドレス数)のコマンドや命令のいずれかだと解釈して利用することができます。ここでまたごく単純な例をあげるなら、たとえば「IPアドレスの4オクテット目の値が特定の値(たとえば100)であれば、TXT DNSクエリを攻撃者のドメインに送信させ、ペイロードを取得して実行させる」などとマルウェアに指示することができます。このほかたとえば「IPアドレスの第1オクテットの値が10なら悪意のあるペイロードをオペレーティングシステムからアンインストールし、イベントログから痕跡を消去する」などに解釈させることもできるでしょう。文字通り、選択肢は無限にあり、それをどのように利用するかは攻撃者の技量次第です。

AレコードのIPアドレスによって、マルウェアの制御を行うことができるんですね、、、
2020.10.12 13:42
グルタミンさん 
(No.6)
この辺りの技術はかなりすごいですよね。私も調べた時は相当感心しました
HelminthというマルウェアはAレコードのIPアドレス部分を文字コードのように使うらしいです。
後、DNSサーバはIPアドレスを返してくれるものって印象が強いですが、SPF等で使われるTXTレコード等を使えばかなり長い文字列のやりとりも可能のようです
ただし、TXTレコードに頻繁に問い合わせに行くのは相当不自然なのでばれやすいという問題もあるようです

こちらのブログがかなり詳しくわかりやすかったので、一応載せておきますね
「標的型攻撃で使われたマルウェアを解析して C2 サーバを作った。そのマルウェアは DNSトンネリングを行う珍しいものだった。」
↑URLは載せられないので、上記のタイトルで検索してみてください
2020.10.12 14:16
TKYさん  
(No.7)
グルタミンさん

ブログ紹介いただきありがとうございます。
これは分かりやすいですね、、、具体的にデータの復元まで記載があり、かなりイメージがわきました。

DNSサーバをC&Cサーバとして動作させる攻撃手法が個人的に真新しかったので、勉強になりました。
色々とご教授いただきありがとうございました。
2020.10.12 18:44

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop