過去15年以上にわたって、脅威行為者はDNS(ドメイン・ネーム・サービス1)プロトコルを悪用するための興味深く巧妙なテクニックをいくつか開発してきた。DNSトンネリングのように、ファイアウォールを簡単に迂回できることで有名になった手口などもあります。
この記事では、Nozomi Networks ラボ・チームが最近発見した、DNSプロトコルの新たな悪用に関する傾向を紹介したい。この現象はすでに企業ネットワークに影響を及ぼしており、さらに将来的には重大な脅威への扉を開くことになります。セキュリティ・チームには、この新しいthreat intelligence を理解し、悪用されやすいDNSリゾルバに関連するトラフィックをネットワークで集中監視することを強くお勧めする。
ブロックチェーンによるドメイン名解決
ブロックチェーン技術を活用してドメイン名をIPアドレスにマッピングするスキームは、数年前から利用可能になっている。これらの実装では、ブロックチェーンは実際のマッピングを保存するデータベースとして機能する。
ICANNが管理する通常のDNSドメインとの主な違いは、中央当局が特定のドメインの登録や更新を妨げることができないという事実にある。参照用ブロックチェーンに含まれるトランザクションを発行することで、ユーザーは利用可能なドメインを独自に登録したり、そのステータスを更新したりすることができる。
これまで、悪意のある事業者が、ファストフラックスやドメイン生成アルゴリズムなどの技術を通じて、インフラを管理するためにDNSを悪用しようとしていることを見てきました。また、ドメイン生成アルゴリズムを使用するボットネットに対抗するために選択される技術は、一定期間のドメインの完全なリストをコンパイルし、対応するレジストリ運用者とリストを共有することであることも分かっています。これにより、悪意のあるドメインを登録しようとする試みを阻止する集中的な方法が構築されます。
ビットコインをベースとしたブロックチェーンであるNamecoinは、2011年の時点で、ブロックチェーンをベースとしたドメイン名解決の概念を広めた最初のプロジェクトであった。このシナリオでは、名前からIPへの解決はDNSゾーンではなくブロックチェーンに保存される。したがって、特定のNamecoinドメインであるbitcoin.bitのアドレスを知りたいクライアントは、2つの選択肢に直面する。1つ目は、ブロックチェーン全体をダウンロードして最新の状態に保つこと。もう1つの選択肢は、.bitのようないくつかのドメインの解決プロセスは、一般的な.comドメインに使用されるものとは異なるチャネルを介して実行されるべきであることを知っている特別なDNSサーバーに接続することです。
オープンニック代替ドメイン名サービスの悪用方法
OpenNICは興味深いDNSコミュニティ・プロジェクトである。その目的は、従来のトップレベル・ドメイン登録に代わる名前解決スキームを提供することである。悲しいことに、悪用される可能性のあるインターネット・インフラ・サービスにはよくあることだが、マルウェアがOpenNICを利用して悪意のあるNamecoinドメインを解決する例がある。
その結果、OpenNICを支えるインフラの一部がブロックリストに載ることになり、サービスをホストするプロバイダーに予想された結果をもたらした。OpenNICは最終的に、2019年7月にNamecoinドメインのサポートを終了することを決定した。今日、.bazarドメインを支えるブロックチェーンであるEmercoinにも同様の状況がある。
Emercoinは概念的には、悪意のあるオペレーターにとってのNamecoinのようなものである。つまり、ドメイン名は、ブロックチェーンの一部となるトランザクションを発行する他の誰とでも同じレベルの匿名性で登録することができる。
ここ数ヶ月の間に、Bazar loader / Bazar backdoorと名付けられたマルウェアによって.bazarドメインが使用されているのを目にしました。このマルウェアは通常、医療施設などを標的としていることで知られるランサムウェア「Ryuk」の起動で終わる感染連鎖の中で展開されます。
Bazarローダー/Bazarバックドアは、.bazarドメインを解決するためにOpenNICに依存していることが確認された。Namecoinがどのように悪用されたかを考えると、近い将来Emercoinの進化が見られると予想される。
ブロックチェーンの興味深い特徴は、追記型のデータ構造であることだ。このため、特定のドメインに関連するIPは、特定の脅威を追跡することに関心を持つセキュリティ研究者が常に調査することができる。
新たな脅威はDNS over HTTPSを利用している
DNS over HTTPS(DoH)は、最近導入されたプロトコルであり、典型的なudp/tcpポート53ベースのスキームを使用する代わりに、HTTPS上でドメイン名を解決する。導入以来、DoHはいくつかの論争を巻き起こしている。このブログは、これらの立場の根拠を説明することを意図しているのではなく、むしろ悪意のあるオペレータによるプロトコルの使用を強調することを意図している。
DoHは明らかに、準拠したクライアントとサーバーの両方を要求している。主要なブラウザのいくつかは、プロトコルの草案ができた当初から、クライアントの部分を実装してきた。現在使用されている最も一般的なパブリック・リゾルバは、CloudflareとGoogleによって提供されているものである。特筆すべきは、2月にFirefoxが米国在住の全ユーザーのためにDoHをデフォルトでオンにし、Cloudflareをデフォルトのリゾルバに設定して出荷を開始したことである。
DoHの実際の効果は、DNS解決のペイロードがクライアントとリゾルバ間で確立される TLSセッション内にカプセル化されるため、受動的なネットワーク監視者に対して その内容が隠蔽されることである。
Huntress Labsのセキュリティ研究者は最近、DoHを悪用して悪意のあるインフラに属するホストのIPを取得するマルウェアに気づいた。TXTリソースレコードは、本物のDKIMレコードを模倣するように細工されていたが、代わりに符号化されたIPアドレスが含まれていた。この場合、解決プロセスをネットワークレベルで分離すると、マルウェアとGoogleパブリック・リゾルバ間のTLS接続が浮かび上がるが、脅威の包括的な挙動を考慮すると、他にもいくつかの異常が目立つ。
DoHは、ネットワークを通過するすべてのDNSトラフィックを透過的に検査するという、いくつかの環境で当然とされている前提を崩す可能性を秘めている。
セキュリティチームは、この可能性を事前に慎重に評価し、それに応じて計画を立てるべきである。
型破りなDNS利用を監視して、あなたの会社を守るNetworks
このように、マルウェア開発者は、自分たちの活動を隠すために新しいテクニックを試行錯誤しており、短期的に優位に立てる可能性のある新しいテクノロジーにおんぶに抱っこになっていることがよくあります。このような現実を考えると、セキュリティチームはDNSトラフィックを集中的に検査する技術を活用することが重要である。悪用されやすいリゾルバ(EmercoinやDoHなど)に関連する通信が検出された場合、警告を発し、防御措置を講じる必要がある。
言うまでもなく、健全なネットワークには、最新のthreat intelligence、継続的なモニタリングが必要である。
1 DNS(ドメイン・ネーム・サービス)は、URLをIPアドレスに変換するアプリケーションで、事実上、インターネットの「電話帳」である。
参考文献
- 「アラート(AA20-302A):医療・公衆衛生セクターを標的としたランサムウェアの活動」CISA、2020年11月2日。
- "DNS-over HTTPS (DoH) FAQs,"Support Mozilla.
- "Should OpenNIC Drop Support for NameCoin,"OPenNIC Wiki, June 2019.
- "DNS Queries over HTTPS (DoH),"IETF Tools, October 2018.
- 「Hiding in Plain Sight Part 2」ジョン・ハモンド、ハントレス・ラボ、2020年8月20日。
