DNSトンネリング攻撃

An Overview DNS Tunneling

DNSとはDomain Name Systemの略です。現代のインターネット利用を可能にする仕組みです。example.netのようなドメイン名を123.45.67.89のような機械に適したIPアドレスに変換します。利用者は複雑な数字を覚える必要がなく、シンプルな名称で好みのニュース、スポーツ、その他のサイトに簡単にアクセスできます。

多くのサービスが常にDNS問い合わせを行っているため、DNS通信は信頼され広く用いられています。DNSは元々名前解決のために設計されたため、悪意ある通信や情報流出を想定していませんでした。しかし、DNSは単なる名前変換機能にとどまらず、機器、ネットワーク、ホスト間で少量のデータを送信する手段としても利用可能です。これにより、DNSは攻撃の標的となる危険性を孕んでいます。

多くの企業では、DNSパケットに対して疑わしい動きのチェックはあまり行われません。代わりに、ウェブやメールのトラフィックの監視で攻撃の兆候を捉えます。DNSトンネリングのリスクは、各エンドポイントを厳重に管理することで防止できます。

How Does DNS Tunneling Works?

DNSトンネリング攻撃は、クライアントとサーバの仕組みを利用して、スパイウェアや情報をトンネル内で送信します。ここでは、DNSトンネリングによるデータ流出の仕組みについて説明します。

利用者がバグをダウンロードするか、ハッカーが機器の脆弱性を利用して不正なペイロードを送る場合があります。多くの不正者は、感染した機器と持続的に接続し指令を実行したり情報を流出させたりしようとします。こうして、侵入者はC2を確立します。トラフィックはネットワーク境界のセキュリティを突破し、ターゲットネットワークに到達するまで検知されません。

DNSはトンネル設定に適しています。情報セキュリティでは、通常の通信として扱い、情報（指令）を運ぶために利用されます。DNS流出攻撃は、DNS問い合わせにデータを隠し、サイバー犯罪者のサーバに送信する仕組みです。DNSトラフィックは、ゲートウェイなどの境界セキュリティ機構を容易に突破します。ハッカーはドメイン名を作成し、DNS流出用の信頼できる名前サーバを設定します。

感染した機器やペイロードは、隠された通信を行うためにDNSサブドメインに問い合わせを発信します。攻撃者のサーバはリカーシブDNSサーバからの問い合わせを受け取り、感染機器には偽のDNS応答が送信されます。これにより、攻撃は検知されにくくなります。

The DNS Tunnelling outbreak can be broken down into the following stages:

1. ハッカーはドメイン名を登録し、管理下のサーバへ向けることでサイトを立ち上げます。不正なトンネリングソフトが予めインストールされています。
2. サイバー犯罪者はマルウェアによりデバイスに感染させ、ファイアウォールを突破します。DNS問い合わせはファイアウォールを通過できるため、制限がかかりません。
3. リカーシブDNSサーバ（DNSリゾルバ）がIPアドレスを求め、ルートやトップレベルドメインのサーバに問い合わせを行います。
4. DNSリゾルバは問い合わせを、攻撃者が管理する権威DNSサーバへ転送します。そこにはトンネリングソフトが搭載されています。
5. 突如、サイバー犯罪者と被害機器の間で接続が確立されます。

DNS Tunneling-Related Attacks

ハッカーがDNSトンネリング攻撃を行う際、その目的自体を達成するよりも、さらなる不正活動への足掛かりとする点が重要です。実際のDNSハイジャック行為は、他のハッキング手法とは異なり、攻撃の初期段階ではありません。

DNSトンネリングは、それ単体の目的ではなく、他の悪質な行動と併せて行われることが多いです。以下は、DNSピボッティングに関連する一般的な攻撃例です。

DNS Tunneling Detection

DNSトンネリング攻撃の検知手段はいくつかあるものの、大きく分けて以下の2種類に分類されます。

Payload Analysis

DNS問い合わせおよび応答のペイロードを評価し、トンネルの兆候を探ります。 

• Assessing request and response size

DNSによるデータ流出ツールは、問い合わせや応答にできるだけ多くの情報を含めようとします。トンネリングの問い合わせはラベルが長くなる傾向があります。長い名前は最大255文字、各ラベルは63文字に達する場合があります。

• ‍Confusing hostnames

辞書に載っている単語を使ったDNS名は通常正規のものです。エンコードされ不規則な文字列は疑わしいと見なされます。

• ‍Data analysis

DNS名の文字数をチェックすることで、トンネリングの兆候を見抜ける場合があります。正規のDNS名は文字数が限られていますが、不正な名前は文字数が多くなる傾向があります。フィールド内の数字の割合やLongest Meaningful Substring (LMS) の長さも判断の材料になります。

• ‍Unusual DNS Records

通常設定されないDNSレコードを調査します。TXTレコードに注目してください。

• ‍Infraction of a regulation

全てのDNSルックアップを内部DNSサーバ経由にするポリシーがある場合、その運用違反を検出します。

• ‍Unique impressions 

DNSヘッダーを署名で解析し、具体的な情報を抽出します。続いて、ペイロード内の該当部分を確認してください。

Traffic Analysis

一定期間のトラフィックパターンを分析します。

• ‍IP address-wise DNS traffic volume

特定のクライアントIPからのDNSトラフィック量を確認するのは、シンプルかつ効果的な方法です。

• ‍Domain DNS traffic

特定のドメイン名に対し大量のトラフィックが発生していないかを調べる方法も基本的な手法です。全てのトンネルされた通信は、そのドメイン名を使用します。

• ‍Domain hostnames

DNSトンネリングでは、各問い合わせにホスト名が必要となります。これが通常の正当なドメイン名と比べ、件数を増やす要因となります。

• ‍DNS server geolocation

普段利用しない地域へ向かうDNSトラフィックが多数あるかを確認してください。

• ‍Domain archive 

ドメイン名のAレコード（またはAAAAレコード）やNSレコードの作成日時を確認することで、不正利用されているドメインを発見できます。

Examples of DNS Tunneling Attacks

DNSトンネリング攻撃はネットワークの安全性に深刻な脅威を与えます。ハッカーがセキュリティ対策を回避し、データを盗み、悪意あるコードを実行するために利用する様々な事例が存在します。

Direction And Management

感染した機器は、TCP/UDP通信以外の方法でコマンド送信やデータ収集、マルウェア拡散を行う可能性があります。これにより多様な攻撃が可能となります。

Information Extraction

DNSのホスト名の連続によって情報が徐々に流出する可能性があります。

Wlan Violence and Code Bypass

アウトバウンドのIP通信を利用できるサービスを悪用し、ハッカーはフル機能のIPv4トンネルを確立します。これにより、グリッド管理者の制限を受けずにプライベートネットワークへ侵入することが可能となります。

‍

How to Defend?

DNSはインターネットの基盤ですが、DNSトンネリングに伴うセキュリティリスクに対処し、サービスの正常な運行を保つための対策が必要です。DNSハイジャックから守るためには、多面的なアプローチが欠かせません。

• 不審なIPアドレスや未知のドメイン名をより厳重にチェック・記録する。
• 社内の全クライアントにDNS問い合わせを共通のDNSサーバに送信するよう設定する。これにより、有害なサイトへのアクセスを制限できる。
• 悪意あるドメイン名を継続的に監視することが重要です。DNSトラフィックの監視が有効な手段となります。これにより、隠れたDNSチャネル攻撃の可能性を低減できます。
• ハッカーの侵入を検知・防止するためのDNSファイアウォールを構築する。
• 異常なDNS問い合わせやDNSサーバのトラフィックパターンを即時に識別できるDNSシステムを採用するのも有効です。

Application Security and APIs With Wallarm

WallarmのAPI Security platformは、最新のクラウドネイティブAPIや既存のウェブアプリを、新たな未知の攻撃から幅広く守ります。Wallarmは高品質なAPIセキュリティと先進のWeb Application Firewall (WAAP)機能を組み合わせた唯一のソリューションであり、様々なクラウド環境において多様なAPIやウェブアプリの保護に適しています。APIの保護を始める準備ができたら、無料トライアルをお試しください。