2016年2月2日 08:00
DNSプロトコルを隠れ蓑にマルウェアが外部と通信、ラックが注意喚起
また、DNSはネット接続機能を持つデバイスであれば必ず利用するため、例えばブラウザやメール、メッセンジャーといったアプリ制限を行っていても、RATが実行できればDNSプロトコルを介して遠隔される危険性があるとしている。
これまでのRATの多くはWeb閲覧時に行われるHTTP(HTTPS含む)プロトコルを使用していたことから、今回のケースが異質なものとなる。ラックによると、攻撃対象となった企業のDNS運用状況を「十分に把握」していたとのことで、DNSパケットを利用してネットと企業内部のネットワーク間の指令のやり取りを秘密裏に行っていた。
ラックが検出したDNSパケットは「通常のものとは考えられないDNSパケット」で、攻撃者が用意したとみられるDNSサーバーに対して、RATがFQDNを含むDNSクエリを模したパケットを送出していた。例として用意された画像では、ホスト名部分が実際のドメイン名から書き換えてあるが、サブドメイン名「abcde」の部分は、標的の企業を特定する文字列か作戦名の可能性があるという(ほかに4つのサブドメインが存在)。実際のDNSリクエストでは、10秒程度の短い間に指令サーバーとの通信(DNSクエリの送信)