Emotet, QSnatch Malware Dominate Malicious DNS Traffic
2023/03/15 DarkReading — インターネットの DNS (domain name system) は、脅威アクターたちにとって、一種のスーパー・ハイウェイとなっているようだ。この四半期において、6 組織に 1 組織の割合で、悪質なネットワーク・トラフィックを経験しているが、それらは、Emotet などのマルウェア/フィッシング攻撃/コマンド&コントロール (C2) アクティビティの、いずれかの形態であることが、研究者たちにより明らかになった。
Akamai の研究者たちは、1 日あたり 7 兆回を超える DNS リクエストのデータを調査し、それらのリクエストを管理するために企業が使用しているサーバやデバイスが、脅威アクターたちの悪質な行為に利用されている方法を調べた。今日のレポートで Akamai 研究者たちは、攻撃者は DNS を介して、驚くべき頻度でネットワークに出入りしていることを明らかにした。
A Deep Dive on Malicious DNS Traffic
Akamai の cybersecurity research team lead である Eliad Kimhy は、「このトラフィックを分析すれば、進行中の攻撃を正確に予測し、脅威の状況を正確に把握できる。さらに、このトラフィックの多くは、リアルタイムで発生しているため、企業による防御が難しくなっている」と述べている。
彼は、「脅威アクターたちは、臨戦態勢で攻撃に取り組んでおり、組織をハッキングする佐賀洋を熟練したオペレーターに任せるようになってきた。そのため、現代の攻撃において C2 トラフィックの果たす役割は大きくなる一方で、C2 トラフィックの検出と停止は、組織のセキュリティにとって極めて重要な要素となる」と指摘している。
A Deep Dive on Malicious DNS Traffic
Emotet と QSnatch と攻撃の現状
Akamai の研究者たちは、攻撃者が DNS を悪用する方法だけではなく、最も多く見られる種類の攻撃やマルウェアについても、さまざまな調査結果を報告している。その中でも特に興味深いのは、一時的に活動を休止していたが、最近になって再び姿を現した脅威である Emotet が、単に復活しただけでなく復讐を遂げたということだ。
Kimhy は、「この脅威は蔓延しており、組織への侵入を試みる大規模なキャンペーンを実施しているようだ。昨年に、1つの大規模キャンペーンが観察されたが、この脅威グループは、次のキャンペーンに向けて準備を進めているようだ。このグループは、ターゲットに侵入した後に、ランサムウェア・グループなどにアクセスを販売することに特化しているため、対処するのが極めて困難なグループである」と指摘している。
さらに彼は、「Emotetは、ネットワークへのイニシャル・アクセス手段として使用されることが多いため、この復活は、ランサムウェア・グループからの攻撃が、さらに増える可能性があることを示す指標になる」と述べている。
実際のところ、研究者たちが C2 サーバへのアクセスを確認した、感染ネットワーク・デバイスの 9% が、なんらかの RaaS グループに関連するドメインに、アクセスしていることが判明した。
また、ボットネット QSnatch を利用することで、NAS (network-attached storage) を経由し、組織のネットワークに侵入する攻撃者も増えているという。研究者たちが観測した被害デバイスの 3分の1 以上が、この脅威に関連する C2 ドメイン・トラフィックを示していたことが判明した。
Akamai は、「バックアップや重要なデータの保存に、NAS デバイスを使用する組織が多いため、これらのデバイスが十分に保護されていない場合には、広大な脅威明晰をさらすことになり得る。ランサムウェア攻撃によりデータが盗まれるケースや、バックアップが削除されるようなケースに陥ると、大変なことになる」と述べている。
DNS を使用して攻撃者が狙う組織の種類については、製造業/小売業/ビジネスサービスなどが、最も高いリスクに直面していることが、研究者により明らかにされている。ただし、それ以外の業界も、差し迫った攻撃に対して、安全というわけではない。
サイバー・ディフェンダーが DNS の脅威から身を守る方法
DNS を経由して企業ネットワークに侵入する、悪意のアクティビティに関する知見を得たことで、セキュリティ管理者たちは、自社のネットワークを標的とする最も一般的な脅威から身を守ることができる。そのためには、ギャップ・アセスメントを実施し、必要に応じてギャップを解消することが重要だと、研究者たちは述べている。
Kimhy は、「現在の脅威の状況を全体的に考えると、知識が力となる。セキュリティ・チームが知る必要があるのは、攻撃の向こう側に誰がいるのか、どのグループが自分たちの組織を危険にさらしているのかという点である」と述べている。
研究者たちは、「繰り返して提唱されているゼロトラストの採用も引き続き真実である。また、EDR (Endpoint Detection and Response)/Micro Segmentation/SWG (Secure Web Gateways) などの、境界防御に特化した製品の展開も、現在の脅威に対抗する際に特に有利である」と述べている。
Akamai の研究者たちは、NAS デバイスがもたらす深刻な脅威を考慮し、企業がネットワーク上に設置するデバイスの安全性を確保するよう、組織に推奨している。セキュリティ・チームは、NAS デバイスが最新の状態にあることを確認し、セグメンテーションなどのツールにより、適切な保護を検討すべきだと提唱している。
文中のグラフは Akamai のレポートからのものですが、「マルウェアの送信先に到達するデバイスと、C2 ドメインに到達するデバイスの間の、不一致に注目すべきだ。この不一致は、マシンにマルウェアをダウンロードする、最初の試みでブロックされる可能性があるネットワーク侵入と、成功した侵入または進行中の攻撃との、違いを示している可能性がある」と解説されています。デバイスの部分を通信と置き換えたほうが、理解しやすくなるとも思えます。つまり、C2 通信のチャネルとして、DNS が悪用されているわけです。このあたりのことは、Palo Alto の「DNSトンネリング: 攻撃者はDNSをどう悪用するのか」という記事でも、詳しく解説されています。
IoT OT Security News 
You must be logged in to post a comment.