DNSプロトコルを隠れ蓑にマルウェアが外部と通信、ラックが注意喚起

が行われており、FQDNのホスト名部分には、暗号化された30字以上の文字列が埋め込まれていた。DNSサーバーが稼働していれば、これらのTXTレコードのクエリを送信したクライアントPCに対して応答があるものの、ラックが検体を解析した段階では、当該DNSサーバーはすでに存在しておらず、指令内容を確認できなかった。

○DNSトンネリングへの対抗策は?

ラックはこうしたDNSトンネリングの手法に対する防御策として、「DNSサーバーへのアクセス状況の確認」を呼びかけている。

アクセスログの取得はDNSの負荷増大に繋がるため、サーバーの負担を確認しながら取得する必要があるものの、これを取得して、不正なDNSリクエストの有無を確認する。負荷増大への懸念からログ取得を行いたくない場合は、DNSが使用するポート番号(TCP/UDPの53)のパケットキャプチャを行い、調査する方法もある。

こうして不正なDNSリクエストを確認した場合は、DNSのフォワード制限かファイアウォールなどで指令サーバーへのDNS通信を拒否するように設定する。また、内部DNSにおける名前解決は企業内部ネットワークのみに制限して社外のDNSサーバーにフォワードしない設定を行い、外部Webサイトへのアクセスはプロキシサーバー経由でのアクセスに制限するよう呼びかけている。