DNSプロトコルを悪用して指令を受ける遠隔操作ウイルスが確認される
2016年2月3日 10:56
DNSプロトコルを使って攻撃者と通信を行うマルウェアが確認されたそうだ(INTERNET Watch、ラックのプレスリリース)。
攻撃者はDNSサーバーに模した指令サーバーを使用し、一般的なDNSリクエストと同じパケットを使ってマルウェアとの通信を行っていたという。実際に確認された不正なDNSパケットでは、短時間内に不規則なサブドメイン名が付けられたドメイン名についてのリクエストが大量に送出されていたそうだ。このサブドメイン名を使って何らかの情報を送信していると見られる。
DNSは多くの環境で監視やブロックの対象外となっており、また指令サーバーの稼働時間が短いという特徴もあるため、検知は非常に難しいという。
対応策としてはDNS通信の制限やプロクシサーバーの利用などが挙げられている(遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起)。
スラドのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー: BIND 9系に脆弱性 2016年01月22日 欧州のVPNサービスプロバイダ、DNSハイジャック攻撃に対して脆弱だと判明 2015年07月04日 警視庁、ボットネットによる不正送金被害を防ぐ「ネットバンキングウイルス無力化作戦」を実施 2015年04月11日