TrkCdnとSpamTrackerとSecShow

ほぼこもセキュリティニュース By Terilogy Worx

TrkCdnとSpamTrackerとSecShowは、すべてDNSトンネリングキャンペーンです。
脅威アクターは、いろいろな方法で攻撃の開始点を配布します。
そして、その開始点がいつどこで作用を開始しているかをトラッキングしたり環境を調査したりしています。
こういった活動に使われる手法の一つに、これらのDNSトンネリングキャンペーンがあります。

  • TrkCdn DNSトンネリングキャンペーン
    このキャンペーンは、フィッシングメールコンテンツと被害者のやり取りを関連付けて追跡することに狙いが定められています。
    攻撃者は電子メールにコンテンツを埋め込み、電子メールに記載したURLが開かれると、FQDNにエンコードされたコンテンツが含まれる攻撃者が制御するサブドメインに対してDNSクエリを実行します。
    トラッキングとしては、単に1つのFQDNがDNSで検索されるだけです。
    しかし、そのFQDNの先頭のラベルは、そのフィッシングメールを送り付けたメールアドレスなどの情報をエンコードしたものなどとなっていて、これにより、攻撃者はどのフィッシングメールが作用を開始したのかを把握できるようになります。
    この活動で得られる情報から、攻撃者は自分の展開している行為の効果測定を実施できるようになります。
    取り組んでいる内容は、まさしく企業のマーケティング担当者のそれと同じようなことになっています。

     

  • SpamTracker DNSトンネリングキャンペーン
    このキャンペーンは、スパムメールの追跡に使用されているものとして確認されています。
    仕組みは大まかにはTrkCdn DNSトンネリングキャンペーンと同様です。
    攻撃者が用意するドメインのサブドメインに把握したい情報を埋め込み、情報を収集します。

     

  • SecShow DNSトンネリングキャンペーン
    このキャンペーンは、別の攻撃で利用することのできる環境があるかを調査する目的で展開されます。
    オープンリゾルバーをターゲットに実施され、リゾルバー遅延のテスト、リゾルバーの脆弱性の悪用、生存時間 (TTL) 情報の取得が行われます。
    これらの調査により、どこのリゾルバーを次のDNSリフレクション攻撃に使用するかの情報とします。

DNSはネットワークの利用になくてはならない存在となっています。
正規のシステムは、このDNSの仕組みを使い、意図した活動が展開できるようにします。
しかし、脅威アクターはさまざまな情報の伝達手段として、この仕組みを使います。
こういった取り組みは、セキュリティツールのバイパス、検出の回避など、さまざまな効能として作用します。

DNSの評判情報を使用したセキュリティ対策の取り組みは、徐々に利用が広がってきています。
防御側もこの方向での対策を充実させていく必要性が高まってきているということですね。

2024/5/15からほぼこもセキュリティニュースはお休みです。
次の更新は2024/6/3以降です。

参考記事(外部リンク):Leveraging DNS Tunneling for Tracking and Scanning
unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/