ドメインネームシステム、またはDNSは、次のような人間に優しいUrlを変換するプロトコルですpaloaltonetworks.com199.167.52.137などのマシンに優しいIPアドレスに変換します。 サイバー犯罪者は、DNSが広く使用され、信頼されていることを知っています。 さらに、DNSはデータ転送を目的としていないため、多くの組織はDNSトラフィックを監視して悪意のあるアクティビティを監視しません。 その結果、企業のネットワークに対して起動された場合、DNSベースの攻撃の種類の数が有効になることができます。 DNSトンネリングはそのような攻撃の1つです。
DNSトンネリングの仕組み
DNSトンネリングは、DNSプロトコルを利用して、クライアントサーバーモデルを介してマルウェアやその他のデータをトンネル
- 攻撃者は次のようなドメインを登録しますbadsite.com.ドメインのネームサーバーは、トンネリングマルウェアプログラムがインストールされている攻撃者のサーバーを指しています。
- 攻撃者は、企業のファイアウォールの背後にあるコンピュータにマルウェアを感染させます。 DNS要求は常にファイアウォールに出入りすることが許可されているため、感染したコンピュータはDNSリゾルバーにクエリを送信することができます。 DNSリゾルバーは、IPアドレスの要求をルートおよびトップレベルのドメインサーバーに中継するサーバーです。
- DNSリゾルバーは、トンネリングプログラムがインストールされている攻撃者のコマンドおよび制御サーバーにクエリをルーティングします。 これで、DNSリゾルバーを介して被害者と攻撃者の間に接続が確立されました。 このトンネルは、データを抽出するため、またはその他の悪意のある目的のために使用することができます。 攻撃者と被害者の間に直接の接続がないため、攻撃者のコンピュータを追跡することはより困難です。
DNSトンネリングは、ほぼ20年前から存在しています。 MORTOとFeederbotの両方のマルウェアは、DNSトンネリングに使用されています。 最近のトンネリング攻撃には、2018年に中東の政府機関を標的とした脅威グループDarkHydrusや、2016年から活動しており、現在も活動しているOilRigが含まれます。
どのようにして攻撃者があなたに対してDNSを使用するのを止めますか? DNS攻撃を停止するための手順については、ホワイトペーパーをお読みください。