マルウェアはC&Cサーバと通信することで、攻撃者からの指令を受け、機密情報を外部に送信したりします。攻撃者からすると、C&CサーバのIPアドレスが特定されると、FWなどで通信が遮断されてしまいます。
そこで、いろいろな技法を用いて、C&Cサーバを隠蔽します。
ここで解説する技術は、以下の2つです。

1.Fast Flux :IPアドレスの隠蔽
2.Domain Flux : FQDNの隠蔽


1. Fast Flux

(1)Fast Fluxとは

過去問(R1NW午後玉筍押砲砲蓮以下の記載があります。

Fast Fluxは,特定のドメインに対するDNSレコードを短時間に変化させることによって,サーバの追跡を困難にさせる手法である。

Fast Fluxは「ファストフラックス」と読みます。Fast Fluxを直訳すると「速い(Fast)変動(Flux)」です。直訳の通り,DNSレコードを「速く変動」させることで,ボットのIPアドレスを追跡しにくくします。


(2)FastFluxの仕組み

まず、図4のDNSの応答情報を見てみましょう。
fastflux


4は、ns.example.comに、fast-flux.example.comAレコードを問い合わせた結果です。QUESTION SECTIONが問い合わせで、ANSWER SECTIONがその応答です。fast-flux.example.comという1つのFQDNIPb1IPbzまでの26個のIPアドレスが付与されています。また、180TTLTime To Live)の値で、キャッシュDNSサーバでキャッシュする時間を秒数で指定します。今回はわずか3分(=180秒)しかありません。これにより、PC3分が経過すると、改めてIPアドレスを問い合わせします。
ネットワークスペシャリストを目指す女性SEあれ?

なぜ、こんなことをするのですか?
C&Cサーバへの通信が、拒否されないようにするためです。仮に、企業内のPCC&Cサーバに通信してマルウェアに感染したとします。企業のシステム管理者はFWの通信ログを見て、該当のIPアドレスの通信を遮断します。しかし、このように大量のIPアドレスをDNSに記載しておけば、マルウェア(またはDNSのリゾルバ機能)が別のIPアドレスに通信します。

加えて、攻撃者がこのドメイン情報を頻繁に変更したら、IPアドレスはめまぐるしく変化します。具体的には、攻撃者はIPb1IPbz、次はIPc1IPczIPd1IPdz、などと毎回変化させるのです。TTLはわずか3分ですから、PC3分ごとにDNSサーバに問い合わせをします。そして、変化した新しいIPアドレスに通信しようします。こうなると,問題文にある「サーバの追跡を困難にさせる」という点もわかってもらえることでしょう。システム管理者にて、このように変化するIPアドレスをFWProxyサーバに反映させ続けるのは現実的に困難です。

ネットワークスペシャリストを目指す女性SEうーーん 

攻撃者はそんなにたくさんのIPアドレスを持っているのですか?

 

 
いえ、持っていないでしょう。多くは、乗っ取ったサーバを使っています。

ネットワークスペシャリストを目指す女性SE待ってよ

 
IP
アドレスではなく、URLやFQDNなどのドメインで拒否すればいいと思います。
もちろん、そうです。よって、攻撃者はドメインも隠蔽しようと考えます。その方法が次のDomain Fluxです。

 

2.Domain Flux

過去問(R1NW午後玉筍押砲砲蓮以下の記載があります。

攻撃者は,これを避けるためにDomain Flux と呼ばれる手法を用いることがある。

 Domain Fluxは,ドメインワイルドカードを用いて,あらゆるホスト名に対して,同一のIPアドレスを応答する手法である。Fast Flux Domain Fluxを組み合わせることによって,C&CサーバのFQDNIPアドレスの両方を隠蔽できる。図4に示した構成のFast Flux Domain Fluxを組み合わせたときの,ns.example.comに設定されるゾーンレコードの例を図5に示す。
domainflux


5 ns. example. comに設定されるゾーンレコードの例(抜粋)

 Domain Fluxは、問題文にあるように、「あらゆるホスト名に対して,同一のIPアドレスを応答する」ことで、攻撃者のIPアドレスを隠蔽する手法です。といっても、技術的には、DNSAレコードにワイルドカード(*)を使う、これだけです。

ef6167f8.jpg  
それだけで、問題文にある「C&CサーバのFQDNIPアドレスの両方を隠蔽できる」のですか?

 
IPアドレスの隠蔽は、先に述べたFast Fluxで実現します。FQDNの隠蔽に関してですが、攻撃者はプログラムによって、毎日のように新しいドメインを作成します。たとえば、日付を付けてc2c20200123.example.comc2c20200124.example.com、などと変化させます。DNSサーバにはワイルド―カード「*」を使っているので、上記のドメインであっても、名前解決ができます。ドメインのパターンはほぼ無限ですから、C&Cサーバの正規のドメイン名(またはFQDN)の特定は困難です。つまり、C&CサーバのFQDNを隠蔽できるのです。

 攻撃者がDomain FluxFast Fluxを組み合わせると,URLフィルタリングを回避します。また、ログ解析をする際にも、IPアドレスの追跡も非常に困難になります。


スポンサードリンク