2016年2月2日 08:00
DNSプロトコルを隠れ蓑にマルウェアが外部と通信、ラックが注意喚起
が行われており、FQDNのホスト名部分には、暗号化された30字以上の文字列が埋め込まれていた。DNSサーバーが稼働していれば、これらのTXTレコードのクエリを送信したクライアントPCに対して応答があるものの、ラックが検体を解析した段階では、当該DNSサーバーはすでに存在しておらず、指令内容を確認できなかった。
○DNSトンネリングへの対抗策は?
ラックはこうしたDNSトンネリングの手法に対する防御策として、「DNSサーバーへのアクセス状況の確認」を呼びかけている。
アクセスログの取得はDNSの負荷増大に繋がるため、サーバーの負担を確認しながら取得する必要があるものの、これを取得して、不正なDNSリクエストの有無を確認する。負荷増大への懸念からログ取得を行いたくない場合は、DNSが使用するポート番号(TCP/UDPの53)のパケットキャプチャを行い、調査する方法もある。
こうして不正なDNSリクエストを確認した場合は、DNSのフォワード制限かファイアウォールなどで指令サーバーへのDNS通信を拒否するように設定する。また、内部DNSにおける名前解決は企業内部ネットワークのみに制限して社外のDNSサーバーにフォワードしない設定を行い、外部Webサイトへのアクセスはプロキシサーバー経由でのアクセスに制限するよう呼びかけている。