コンテンツにスキップ

手法

DGA (ドメイン生成アルゴリズム)

詳細については https://attack.mitre.org/techniques/T1568/002/ 参照。

ドメイン名の侵害

ドメイン名の正当な保有者から管理権限を不当に奪う。侵害されたドメインは、さまざまな悪意ある行為、例えばSPAMの送信、フィッシング、マルウェアの配布、ボットネットのコマンド&コントロール(C2)などに使用される可能性がある。詳細については https://www.icann.org/groups/ssac/documents/sac-007-en 参照。

lame delegation(レイムデレゲーション)

ネームサーバーのドメインの有効期限が切れるとlame delegationが発生する。攻撃者は期限が切れたネームサーバーのドメインを再登録することにより、そのドメインの管理権限を得られる。詳細については https://blog.apnic.net/2021/03/16/the-prevalence-persistence-perils-of-lame-nameservers/ 参照。

DNSキャッシュポイズニング

DNSスプーフィングとも呼ばれる。サイバー攻撃の一種で、攻撃者が偽のDNSレコードを注入することによってDNSリゾルバーのキャッシュを汚染し、攻撃者に制御されたレコードをリゾルバーに保存させる。詳細については https://capec.mitre.org/data/definitions/142.html 参照。

DNSリバインディング

悪意あるWebサイトがクライアントをローカルネットワークアドレスに誘導し、攻撃者が同一生成元ポリシーを迂回して被害者のローカルリソースへのアクセスを得られるようにする。詳細については https://capec.mitre.org/data/definitions/275.html 参照。

DNSサーバーの侵害

攻撃者が、オープン再帰DNSサーバー、権威DNSサーバー、組織の再帰DNSサーバー、ISPが運用する再帰DNSサーバーなどの管理者権限を取得する。

スタブリゾルバーのハイジャック

攻撃者が、DNS問い合わせを傍受して不正な応答または悪意ある応答を返す悪意あるコードにより、コンピューターや携帯電話のオペレーティングシステムを侵害する。

ローカルな再帰リゾルバーのハイジャック

家庭用ルーターなどの顧客構内設備(CPE)は、しばしばローカルネットワークに対してDNS再帰検索サービスを提供する。CPE機器が侵害されると、攻撃者は応答を改変するなどして再帰リゾルバーの振る舞いを変えられるようになる。

オンパス(on-path)のDNS攻撃

攻撃者がユーザーとDNSサーバー間の通信を傍受し、悪意あるサイトを指し示す異なる宛先IPアドレスを指定する。 (https://www.imperva.com/learn/application-security/dns-hijacking-redirection/)

DNSに対するDoS

ターゲットのDNSサーバーに対して複数のシステムが悪意あるトラフィックを同時に送信する。

DoSを目的としたDNSサーバーの不正使用

攻撃者は、大量のネットワークトラフィックをターゲットに反射させることで、サービス妨害を引き起こそうと試みることがある。この種のネットワークDoSは、サービスをホストしており、偽装された送信元IPアドレスに応答する第三者のサーバーを仲介者として利用する。このサーバーは、一般にリフレクターと呼ばれる。攻撃者は、被害者のアドレスに偽装されたパケットをリフレクターに送信することにより、リフレクション攻撃を達成する。反射・増幅・フラッドを可能にしたプロトコルでは、DNSとNTPの2つが突出しているが、他にもいくつかのプロトコルが実世界で使用されたと文書に記録されている。これらの反射や増幅によるフラッドを権威DNSサーバーのようなDNSの構成要素に誘導すれば、それらを応答不能にできる。(https://attack.mitre.org/techniques/T1498/002/)

動的なDNS解決による検知の難化

攻撃者は、一般的な検知・修正を回避するため、コマンド&コントロールインフラへの接続を動的に確立する場合がある。これは、攻撃者がマルウェアからの通信を受信するために使用するインフラとマルウェアの間で、共通のアルゴリズムを使用することで達成できる。これらの演算を使用して、マルウェアがコマンド&コントロールと通信するために使用するドメイン名、IPアドレス、ポート番号などを動的に調整することができる。(https://attack.mitre.org/techniques/T1568/)

動的なDNS解決(Fast flux)による隠ぺい

攻撃者は、Fast flux DNSを使用して、単一のドメイン解決に割り当てられた素早く変化する多数のIPアドレス群の中にコマンド&コントロールチャネルを隠ぺいする場合がある。この手法は、完全修飾ドメイン名(FQDN)と、そのドメイン名に割り当てられた複数のIPアドレスを使用する。これらのIPアドレスは、ラウンドロビン機能とDNSリソースレコードの短いTTL(Time-To-Live)を組み合わせることで、高い頻度で入れ替わっていく。(https://attack.mitre.org/techniques/T1568/001/)

DNSを介した情報の不正な持ち込みおよび持ち出し

DNSを介した不正な情報の持ち出しは、委任されたドメインを必要とする。パブリックDNS内にドメインが存在しない場合は、ドメインのゾーンファイル情報があらかじめロードされており、侵害された機器が送信する問い合わせを受信して応答するように設定されたリゾルバーの運用が必要となる。

(実効的)セカンドレベルドメインの悪意ある登録

例えば、攻撃者が被害者を攻撃する前に、ターゲティング時に使用できるように、ICANNが認定したレジストラーからドメインを購入する、あるいはレジストラーにドメインを登録する。CAPEC-630も参照。

ダイナミックDNSプロバイダーを介した悪意あるサブドメインの作成

攻撃者が被害者を攻撃する前に、レジストリやレジストラー以外で自分が保有、管理をしているドメイン下位のサブドメインを提供しているエンティティからドメインを購入する、あるいはそこでドメインを作成する。https://en.wikipedia.org/wiki/Dynamic_DNS も参照。

DNSの不正使用を目的としたDNS以外のサーバーの侵害

インターネット攻撃のインフラは多岐にわたり、そこにはDNS以外のあらゆるサーバーが含まれる。侵害された多数のサーバー、例えばWebサーバーやメールサーバーなどはDNSとのやり取りを行っており、DNSの不正使用の実施に関与することがある。例えば、フィッシングメールの送信に使用される可能性がある方法の1つに、メールサーバーの侵害が挙げられる。

未登録ドメイン名を介したなりすまし

ドメイン名が期待されるコンテキスト(メールのFromヘッダー、Webページやメール本文に含まれるURLなど)において、攻撃者が管理しておらず、正当な登録者も管理していないまたは登録していないドメイン名を指定する。

登録されたドメイン名のなりすまし

ドメイン名が期待されるコンテキスト(メールのFromヘッダー、Webページやメール本文に含まれるURLなど)において、攻撃者は管理していないが、実際に正当な登録者が管理しているかまたは登録したドメイン名を指定する。

DNSトンネリング - DNS上での他のプロトコルのトンネリング

DNSプロトコルは、コンピューターネットワークにおいて管理機能を提供しているため、環境の中では極めて一般的なものだろう。DNSトラフィックは、ネットワーク認証の完了前でも許可される場合がある。DNSパケットは多数のフィールドとヘッダーを含んでいるので、そこにデータを隠すことができる。しばしばDNSトンネリングとして知られるように、攻撃者はDNSを不正使用し、通常予期されるトラフィックに偽装して、被害者ネットワーク内にある攻撃者の管理下のシステムと通信する可能性がある。 (https://attack.mitre.org/techniques/T1071/004/)

DNSビーコン - C2との通信

データを不正に持ち出すかC2からのさらなるコマンドを待機するため、コマンド&コントロールサーバーにDNS問い合わせを連続的または定期的に送信する。