DNS 攻撃によるエアギャップ破壊:重要なのは 正確な設定/特性の理解/アクティビティの監視

Report: Air-Gapped Networks Vulnerable to DNS Attacks

20222/12/08 DarkReading — 企業環境における Domain Name System (DNS) の実装方法で、よく見かけられるミスコンフィグレーションが、きわめて気密性の高い資産の保護を得目的とするエアギャップ・ネットワークを、外部攻撃者による侵害にさらす可能性があることが、研究者により明らかにされた。セキュリティ企業である Pentera の研究者たちは、12月8日に発表したブログ記事で、DNS サーバに接続するエアギャップ・ネットワークを使用している組織が、重要な資産を不用意に脅威アクターにさらし、深刻なデータ侵害を引き起こす可能性があると指摘している。


DNS を Command and Control (C2) チャネルとして悪用する能力のある攻撃者は、インターネットに接続された DNSサーバ を介して、それらのネットワークとの通信を可能にする。したがって、組織がネットワーク隔離を確立したと考えている場合であっても、ネットワークに侵入できると、研究者たちは明らかにしている。

ビジネスやエンタープライズの IT 環境におけるエアギャップ・ネットワークとは、インターネットにアクセスできないように分離されたネットワークのことである。それらのネットワークは、組織の「王冠の宝石」を保護するために設計されている。具体的に言うと、VPN/SSL VPN を用いて、または、ジャンプ・ボックス経由でアクセスする、誰かのためのものであると、研究者たちは述べている。

しかし、これらのネットワークでは、システムに名前を割り当て、検出を可能にするためにるために、依然として DNS サービスが必要とされている。 そのため、ネットワーク管理者が DNS の設定を慎重に行わないと、脆弱性が発生する可能性が生じる。

Pentera の Cyberattack Researcher である Uriel Gabay は、「我々の研究は、DNS における不用意なミスコンフィグレーションが、エアギャップ・ネットワークの整合性に影響を与える詳細を紹介している」と、DarkReading に語っている。

それが意味するのは、企業の DNS の悪用に成功したハッカーが、エアギャップ・ネットワーク内に安定した通信経路を確保し、組織のセキュリティ・プロトコルとして合法的に見えるアクティビティの中で、機密データを流出させることが可能になることだと、Gabay は述べている。

DNS プロトコルではコンフィグレーションの失敗が起こりやすい

エアギャップ・ネットワークを構築する際に、企業が犯す可能性のある最も一般的な間違いは、ローカルの DNS サーバと連動させることで、効果的なエアギャップが形成されると考えることだと、Gabay は述べている。多くのケースにおいて、それらのサーバはパブリック DNS サーバにリンクされている可能性があり、「意図せずして自分たちのエアギャップを壊してしている」ことを意味する。

その複雑な仕組みを利用して、攻撃者がエアギャップに侵入する方法を知るためには、DNS の仕組みを理解することが重要になると、研究者たちはブログで説明している。

DNS を介して情報を送信するには、プロトコルが扱うレコード (テキストレコードの TXT や、ネームサーバレコードの NS など) をリクエストし、その情報をレコードの名前の先頭部分に加えることで可能になると、研究者は説明している。つまり、DNS で情報を受け取るには、TXT レコードを要求し、そのレコードに対するテキスト応答を受信することになる。

DNS プロトコルは TCP 上で動作させることも可能だが、ほとんどは UDP をベースにしている。そこには、セキュリティ機構が組み込まれていないため、攻撃者が DNS を悪用する際に用いる、2つの重要な要素のうちの1つになると、研究者は述べている。また、UDP ではデータ伝送の流れや順序を制御することができない。

このように、UDP にはエラー検出機能がないため、攻撃者は送信前にペイロードを圧縮し、送信後に直ちに解凍することが可能になる。つまり、base64 などのエンコーディングも可能になると研究者は説明している。

DNS を悪用してエアギャップを突破する

とは言え、脅威者が DNS を悪用してエアギャップを突破するには、乗り越えるべき課題が存在する。DNS は受け付ける文字の種類に制限があるため、すべての文字を送信できるわけではなく、また、送信できない文字は「不正文字」と呼ばれると。研究者は述べている。また、送信可能な文字の長さにも制限がある。

DNS のデータフローを制御できないことを克服する脅威者は、どのパケットをバッファリングすべきか、また、何が最後のパッケージとして予想されるかを、サーバに通知できると研究者は述べている。また、攻撃者は、前のパケットが正常に到着したことを検知するまで、パケットを送信できないと、研究者は述べている。

また、DNS の文字数制限を回避するために、データをスライスして1つずつ送信することも可能だという。

攻撃者は、送信元サーバへのアクセスをブロックすることで、DNS リクエストをブロックしようとする防御壁を回避するために、双方が知っていていると予測される変数に基づき、攻撃者はドメイン名を生成できると研究者は説明している。

彼らは、「この実行形式は、必ずしも難しいものではないが、攻撃者たちのグループは、ルートレコードを購入し続けるためのインフラが必要になる」と指摘している。

また、攻撃者は、ある日付に基づき、DNS にドメインを生成するように、マルウェアを設定することも可能だという。それにより、新しい既知のルート・ドメインを使用して、DNS 上で常に新しいリクエストを送信できるようになると、研究者は述べている。このような設定に対する防御は、「静的な手法や基本的な異常検知を用いて、検出/防止を行う組織にとって困難なものとなる」と研究者は述べている。

エアギャップ・ネットワークにおける DNS 攻撃への対策

最新の IDC Global DNS Threat Report によると、2022年には 88% の組織が。何らかの DNS 攻撃を報告している。かつてないほど、DNS 攻撃が頻繁に発生していることから、DNS の不正使用を緩和/防御する方法を理解することが、組織にとって重要であると研究者は述べている。

1つの方法は、エアギャップ・ネットワーク専用の、DNS サーバを作成することだと、Gabay は語っている。ただし、このサーバは「最終的にはインターネット上の DNS サーバに連鎖する」ため、組織内に存在する他の DNS サーバに連鎖しないよう、注意する必要がある。

また、企業は IDS/IPS ツールを利用してネットワーク上で異常検知を行い、奇妙な DNS アクティビティを監視/特定する必要があると、Gabay は述べている。それぞれの企業ごとに環境が異なるため、この種のソリューションは、それぞれの企業独自のものになると、同氏は述べている。

しかし、監視すべき DNS の異常な動作には、以下のような具体的な例がある。それらは、悪意のドメインに対する DNS リクエスト/短時間における大量の DNS リクエスト/特異な時間帯に行われる DNS リクエストなどである。それぞれの組織は、要求された DNS レコードの長さを監視するために、SNORT ルールを実装する必要があると、Gabay は付け加えている。

エアギャップの用法と構築方法を教えてくれる、とても良い記事だと思います。その一方で、ミスコンフィグレーションが起こりやすい DNS プロトコルの弱点も明らかにされています。ここを攻撃してくる驚異アクターが多いとは思えませんが、それでも攻撃は起こりえます。関連する記事として、2021年8月20日の「ISC BIND 9 に深刻な脆弱性 CVE-2021-25218 が発見された」や、2022年3月18日の「BIND Ver 9.18 の深刻な脆弱性 CVE-2022-0635 などにパッチが適用」、9月24日の「ISC BIND の深刻な脆弱性 CVE-2022-2906 などが FIX:CISA も警告」などがありますので、よろしければ、ご参照ください。

%d bloggers like this: