| /ステークホルダー |
DNSの不正使用手法をまとめた技術ドキュメントの公開 https://blogs.jpcert.or.jp/ja/2023/07/DNS-Abuse-Techniques-Matrix.html
ドメイン名の侵害やDNSキャッシュポイズニングといったDNSが不正使用される際に散見される特定の手法がベースになっており ...
1. ステークホルダー
2. quotation
DNSの不正使用手法に対抗するためのマトリックス
マトリックスは、縦軸に21種類の手法を、横軸にステークホルダーとして15種類の関係事業者・組織・人を並べ、 どの手法に対してどのステークホルダーがどのような検知・緩和・抑止可能か、または不可かを把握できるようになっています。
手法 Version 1.1 (Feb 9, 2023) DNS Abuse Techniques Matrix https://www.first.org/global/sigs/dns/
1. DGA (ドメイン生成アルゴリズム) – 2. ドメイン名の侵害 – ドメイン名の正当な保有者から管理権限を不当に奪う。侵害されたドメインは、さまざ まな悪意ある行為、例えば SPAM の送信、フィッシング、マルウェアの配布、ボットネットのコマンド&コン トロール(C2)などに使用される可能性がある。詳細については https://www.icann.org/groups/ssac/documents/sac-007-en 参照。 3. lame delegation(レイムデレゲーション)– ネームサーバーのドメインの有効期限が切れると lame delegation が発生する。攻撃者は期限が切れたネームサーバーのドメインを再登録することにより、その ドメインの管理権限を得られる。詳細については https://blog.apnic.net/2021/03/16/the-prevalence- persistence-perils-of-lame-nameservers/ 参照。 4. DNS キャッシュポイズニング – DNS スプーフィングとも呼ばれる。サイバー攻撃の一種で、攻撃者が偽の DNS レコードを注入することによって DNS リゾルバーのキャッシュを汚染し、攻撃者に制御されたレコー ドをリゾルバーに保存させる。詳細については https://capec.mitre.org/data/definitions/142.html 参照。 5. DNS リバインディング – 悪意ある Web サイトがクライアントをローカルネットワークアドレスに誘導し、攻 撃者が同一生成元ポリシーを迂回して被害者のローカルリソースへのアクセスを得られるようにする。詳 細については https://capec.mitre.org/data/definitions/275.html 参照。 6. DNS サーバーの侵害 – 攻撃者が、オープン再帰 DNS サーバー、権威 DNS サーバー、組織の再帰 DNS サーバー、ISP が運用する再帰 DNS サーバーなどの管理者権限を取得する。 7. スタブリゾルバーのハイジャック – 攻撃者が、DNS 問い合わせを傍受して不正な応答または悪意ある応 答を返す悪意あるコードにより、コンピューターや携帯電話のオペレーティングシステムを侵害する。 8. ローカルな再帰リゾルバーのハイジャック – 家庭用ルーターなどの顧客構内設備(CPE)は、しばしばロー カルネットワークに対して DNS 再帰検索サービスを提供する。CPE 機器が侵害されると、攻撃者は応答 を改変するなどして再帰リゾルバーの振る舞いを変えられるようになる。 9. オンパス(on-path)の DNS 攻撃 – 攻撃者がユーザーと DNS サーバー間の通信を傍受し、悪意あるサイ トを指し示す異なる宛先 IP アドレスを指定する。 (https://www.imperva.com/learn/application- security/dns-hijacking-redirection/) 10. DNS に対する DoS – ターゲットの DNS サーバーに対して複数のシステムが悪意あるトラフィックを同時 に送信する。 11. DoS を目的とした DNS サーバーの不正使用 – 攻撃者は、大量のネットワークトラフィックをターゲットに 反射させることで、サービス妨害を引き起こそうと試みることがある。この種のネットワーク DoS は、サー ビスをホストしており、偽装された送信元 IP アドレスに応答する第三者のサーバーを仲介者として利用す る。このサーバーは、一般にリフレクターと呼ばれる。攻撃者は、被害者のアドレスに偽装されたパケット をリフレクターに送信することにより、リフレクション攻撃を達成する。反射・増幅・フラッドを可能にしたプ ロトコルでは、DNS と NTP の 2 つが突出しているが、他にもいくつかのプロトコルが実世界で使用された と文書に記録されている。これらの反射や増幅によるフラッドを権威 DNS サーバーのような DNS の構成 要素に誘導すれば、それらを応答不能にできる。(https://attack.mitre.org/techniques/T1498/002/) 12. 動的な DNS 解決による検知の難化 – 攻撃者は、一般的な検知・修正を回避するため、コマンド&コント ロールインフラへの接続を動的に確立する場合がある。これは、攻撃者がマルウェアからの通信を受信 するために使用するインフラとマルウェアの間で、共通のアルゴリズムを使用することで達成できる。これ らの演算を使用して、マルウェアがコマンド&コントロールと通信するために使用するドメイン名、IP アドレ ス、ポート番号などを動的に調整することができる。(https://attack.mitre.org/techniques/T1568/) 13. 動的な DNS 解決(Fast flux)による隠ぺい – 攻撃者は、Fast flux DNS を使用して、単一のドメイン解決に 割り当てられた素早く変化する多数の IP アドレス群の中にコマンド&コントロールチャネルを隠ぺいする 場合がある。この手法は、完全修飾ドメイン名(FQDN)と、そのドメイン名に割り当てられた複数の IP アド レスを使用する。これらの IP アドレスは、ラウンドロビン機能と DNS リソースレコードの短い TTL(Time- To-Live)を組み合わせることで、高い頻度で入れ替わっていく。 (https://attack.mitre.org/techniques/T1568/001/) 14. DNS を介した情報の不正な持ち込みおよび持ち出し – DNS を介した不正な情報の持ち出しは、委任さ れたドメインを必要とする。パブリック DNS 内にドメインが存在しない場合は、ドメインのゾーンファイル情 報があらかじめロードされており、侵害された機器が送信する問い合わせを受信して応答するように設定 されたリゾルバーの運用が必要となる。 15. (実効的)セカンドレベルドメインの悪意ある登録 – 例えば、攻撃者が被害者を攻撃する前に、ターゲティ ング時に使用できるように、ICANN が認定したレジストラーからドメインを購入する、あるいはレジストラー にドメインを登録する。CAPEC-630 も参照。 16. ダイナミック DNS プロバイダーを介した悪意あるサブドメインの作成 – 攻撃者が被害者を攻撃する前に、 レジストリやレジストラー以外で自分が保有、管理をしているドメイン下位のサブドメインを提供しているエ ンティティからドメインを購入する、あるいはそこでドメインを作成する。 https://en.wikipedia.org/wiki/Dynamic_DNS も参照。 17. DNS の不正使用を目的とした DNS 以外のサーバーの侵害 – インターネット攻撃のインフラは多岐にわ たり、そこには DNS 以外のあらゆるサーバーが含まれる。侵害された多数のサーバー、例えば Web サ ーバーやメールサーバーなどは DNS とのやり取りを行っており、DNS の不正使用の実施に関与すること がある。例えば、フィッシングメールの送信に使用される可能性がある方法の 1 つに、メールサーバーの 侵害が挙げられる。 18. 未登録ドメイン名を介したなりすまし – ドメイン名が期待されるコンテキスト(メールの From ヘッダー、Web ページやメール本文に含まれる URL など)において、攻撃者が管理しておらず、正当な登録者も管理して いないまたは登録していないドメイン名を指定する。 19. 登録されたドメイン名のなりすまし – ドメイン名が期待されるコンテキスト(メールの From ヘッダー、Web ページやメール本文に含まれる URL など)において、攻撃者は管理していないが、実際に正当な登録者 が管理しているかまたは登録したドメイン名を指定する。 20. DNS トンネリング - DNS 上での他のプロトコルのトンネリング – DNS プロトコルは、コンピューターネット ワークにおいて管理機能を提供しているため、環境の中では極めて一般的なものだろう。DNS トラフィッ クは、ネットワーク認証の完了前でも許可される場合がある。DNS パケットは多数のフィールドとヘッダー を含んでいるので、そこにデータを隠すことができる。しばしば DNS トンネリングとして知られるように、攻 撃者は DNS を不正使用し、通常予期されるトラフィックに偽装して、被害者ネットワーク内にある攻撃者 の管理下のシステムと通信する可能性がある。 (https://attack.mitre.org/techniques/T1071/004/) 21. DNS ビーコン - C2 との通信 – データを不正に持ち出すか C2 からのさらなるコマンドを待機するため、コ マンド&コントロールサーバーに DNS 問い合わせを連続的または定期的に送信する。