Darktrace事例 DNSを利用した標的型マルウェアによるビーコニング

Case.4 DNSを利用した標的型マルウェアによるビーコニング

業界: 旅行
侵入ポイント: ヨーロッパの空港の遺失物担当部署
見かけ上の目的: ブティック型マルウェアを使ってデータを取り出す

2016年3月下旬、ヨーロッパの主要空港の1つが、わずかなマルウェア感染により情報漏洩のリスクに直面しました。このマルウェアは、通信をDNSリクエストに偽装することによりシグネチャベースの防御システムからの検知を免れていました。
Darktraceがこのアクティビティを最初に検出したのは、遺失物担当部署の1台のコンピューターが、これまでにモデル化された活動のパターンと比較してまったく異例な外部通信を開始した時です。この端末は53番ポートを使って定期的にアメリカにあるデータセンターに接続していました。53番ポートはDNSトラフィックに割り当てられています。しかし、ほとんどのDNSリクエスト(このネットワークも含め)はUDPを使っているのに対し、これらのメッセージはTCPで送信されていました。このようなネットワーク外との通信を行っているのはこの端末だけであったため、Darktraceはさらなる調査が必要としてこの遺失物担当部署のコンピューターにフラグを立てました。
解析によりすぐに明らかになったことは、接続先のアメリカのサーバーはDNSサーバーではなく、攻撃者によりC&Cインフラの一部として利用されていた可能性が高いということでした。

Darktraceの検出結果:

  • これらの外部サーバーはこの空港のネットワークに対して100%の特異性を示していました。つまりDarktraceがインストールされて以来、社内のいずれの端末もこれらのサーバーに接続していなかったことを意味します。
  • 各DNSリクエストは、ネットワーク内のその他のDNSトラフィックと比較して異常な大きさでした。
  • Darktraceのパケットキャプチャにより、通信には暗号化された情報が含まれていたことがわかりました。
DNSはインターネット通信に欠かせない機能であり、したがってほとんどの端末は53番ポートをオープンにしています。DNSは通常は情報の送信に使われるチャネルではないため、多くの組織ではこのポートのモニタリングに対するセキュリティリソースを最小限にしています。特に、重要な運行情報ではなく遺失物を扱うこのような部署ではそれが普通です。
しかし、このことは悪意ある通信にDNSを利用できることを意味しています。
これらは従来のシグネチャベースおよび境界型防御では、特にDNSトラフィックを特別に監視するよう設定されていない場合、検出が困難です。
異常なDNSリクエストを感染ライフサイクルの早い段階で見つけることにより、Darktraceはセキュリティチームがインシデント対応に即座にとりかかることで、データの引き出しをくい止めることを可能にしました。