DNS クエリ 700億を調査:Decoy Dog というマルウェア・ツールキットを発見 – Infoblox

Decoy Dog malware toolkit found after analyzing 70 billion DNS queries

2024/04/23 BleepingComputer — 通常のインターネット・アクティビティとは言えない、異常な DNS トラフィックを検査した結果として、企業を標的とする新たなマルウェア・ツールキット Decoy Dog が発見された。この Decoy Dog は、戦略的なドメイン・エイジングと DNS クエリ・ドリブルにより標準的な検出方法を回避し、セキュリティ・ベンダーから良い評判を得た後に、サイバー犯罪のオペレーションを促進することを目的としている。2023年4月上旬に Infoblox の研究者たちは、異常または疑わしいアクティビティの兆候を探すために、毎日 700億以上のDNSレコードを分析した結果として、このツールキットを発見した。


Infoblox の報告によると、Decoy Dog の DNS フィンガープリントは、インターネット上の 3億7000万個のアクティブ・ドメインの中で、きわめて稀でユニークであるため、識別と追跡が容易であるとのことだ。

そのため、Decoy Dog のインフラを調査した結果として、同じ悪意のオペレーションにリンクしている複数の C2 (Command and Contorl) ドメインが直ぐに発見され、それらのサーバからの通信の大半がロシアのホストから発信されていることが判明した。

さらに調査を進めると、これらのドメインの DNS トンネルには、Decoy Dog のツールキットにより展開される、リモートアクセス型トロイの木馬 Pupy RAT の存在を示す特徴があることも判明した。

Pupy RAT は、モジュール式のオープンソースのポスト・エクスプロイト・ツールキットであり、ステルス性 (ファイルレス) や、暗号化された C2 通信のサポートを特徴とし、他のユーザーとの活動の融合を支援することから、国家に支援された脅威アクターたちの人気を博している。

Pupy RAT プロジェクトは、Windows/macOS/Linux/Android を含む、すべての主要 OS 上で機能するペイロードをサポートしている。他の RAT と同様に、脅威アクターたちはリモートでコマンドを実行し、特権を昇格させ、認証情報を盗み、ネットワークを横方向へと移動することになる。

C2 通信のための正しい DNS サーバ設定でツールを展開するには、知識と専門知識が必要であるため、スキルの低い脅威アクターは Pupy RAT を使用しないとされる。

Infoblox はレポートの中で、「この複数の部分で構成される DNS シグネチャにより、相関するドメインが Pupy を使用していることが分かった。また、大規模な企業や組織のデバイスに対して、きわめて特殊な方法で Pupy を展開する、大規模かつ単一のツールキットとして Decoy Dog が存在するという強い確信が得られた」と明らかにしている。

さらに研究者たちは、定期的だが頻度の低い DNS リクエスト生成の、特定のパターンに従うように構成された全 Decoy Dog ドメインで、明確な DNS ビーコンが動作していることも発見した。

Repeating pattern of Decoy Dog IPv4 resolution
Repeating pattern of Decoy Dog IPv4 resolution (Infoblox)

ホスティングとドメイン登録の詳細を調査したところ、Decoy Dog の活動は 2022年4月初旬から始まっていることが判明した。つまり、このツールキットのドメインは、分析で極端な異常値を示していたが、1年以上もレーダーに検知されたなかったことになる。

Timeline of Decoy Dog domain registrations
Timeline of Decoy Dog domain registrations (Infoblox)


Decoy Dog の発見は、広大なインターネット空間において、異常なアクティビティを検出するためには、大規模なデータ分析が必要なることを実証している。

Infoblox は、Decoy Dog のドメインをレポートに掲載し、Suspicious Domains リストに追加した。それにより、防御者/セキュリティ・アナリストたちに喚起を促し、標的とされる組織が脅威から保護されるようにした。

同社は、「Decoy Dog の発見は、そして最も重要なことは、一見無関係に見える複数のドメインで、きわめて稀な悪意のツールキットが使用されていたという事実である。それは、自動処理と人的処理の組み合わせの結果である。状況は複雑であり、我々は今回の発見で DNS の側面に焦点を当てた。今後は、我々だけでなく、業界からも詳細が発表されることを期待する」と述べている。

また、同社は侵害の指標を GitHub の公開リポジトリで共有しているため、ブロック・リストへの手動での追加も可能になっている。

Decoy Dog と Pupy RAT の名前は頭に入りましたが、新たな侵害経路が明らかになるたびに、なんというか、ため息が出てしまいます。Akamai のレポートがベースになっている、2023/03/15 の「Emotet や QSnatch などが御用達:DNS を悪意のハイウェイとして活用するマルウェアたち」も、同じように DNS の悪用に対して警鐘を鳴らしています。よろしければ、DNS で検索も、ご参照ください。

%d bloggers like this: