パロアルトネットワークスは、攻撃者がバックアップ用にドメイン名を事前登録するケースが増えており、そのような戦略的な休眠ドメイン名を利用した攻撃が増加していることを発見した。
たとえば、SolarWinds 事件で攻撃者が使用した C&C ドメイン名は数年前に登録されました。
APT 攻撃の典型的な特徴の 1 つは、価値の高いターゲットに対する長期的な休止状態であり、APT攻撃によって展開されるマルウェアは通常、侵害されたネットワーク内で長期間休止状態に留まります。フィッシングやブラックハット SEO
攻撃者も、長期間登録されているドメインを悪用することがよくあります。通常、登録期間が長いため、評判は良いのですが、このような戦略的に休止中のドメインを検出することは通常より困難です。
戦略的休眠ドメイン名が使用されるとトラフィックが急増するため、このようなドメイン名を検出することができます。パロアルトネットワークスは、
パッシブ DNS データを通じて毎日約 30,000 のドメイン名をフィルタリングできます。これらのドメイン名は、ある日突然通常の 10 倍のトラフィックを受信し、新規登録されたドメイン名に占める悪意のあるドメイン名の割合は 10% です。ドメイン名 (NRD) 3 倍。
図 1 2021 年 9 月の戦略的休眠ドメイン名の 1 日あたりの検出数
SolarWinds サプライ チェーン攻撃では、SUNBURST トロイの木馬が DGA アルゴリズムを使用して、侵害されたホストのドメイン情報を盗みました。同様の APT 攻撃を検出するために
、パロアルトネットワークスは、データ内で新たに発見された多数の DGA サブドメインを含むドメインを潜在的に悪意のあるドメインとしてマークしました。これらの悪意のあるドメインには平均 161 の DGA サブドメインがあり、
突然増加したトラフィックの 43.19% を運びます。いくつかの典型的な分析例を以下に示します。
戦略的な休眠ドメイン名を検出する
新しく登録されたドメイン名が深刻な悪用を受けていることは誰もが知っていますが、新しく登録されたドメイン名だけに注目するだけでは十分ではありません。攻撃者は、ずっと前に登録されたドメイン名を使用することが増えています。
まず、一般に、登録されてから長い期間が経過しているドメイン名は、より評判が高いと考えられます。次に、APT が使用するドメイン名は数年間沈黙していた可能性があります。
ドメインの休止中、マルウェアは
非常に限られた「ハートビート」トラフィックのみを C&C サーバーに送信します。攻撃者が価値の高いターゲットに対して追加攻撃を実行することを決定した場合にのみ、ドメインはより多くのトラフィックを受信します。
たとえば、SolarWinds サプライ チェーン攻撃で使用された C&C ドメイン avsvmcloud.com は 2018 年に登録され、 2020 年 3 月に
大量のトラフィックを受信し始めるまで2 年間休止していました。Passvie DNS データによると、ドメインのトラフィックは使用開始後に約 165 倍に増加しました。
パロアルトネットワークスは、特定の時間枠における DNS トラフィックによるドメイン名のアクティビティを定量化します。
ドメインは、アクティビティに基づいて、休止ドメイン (下位75%)、標準ドメイン (75% ~ 95%)、およびアクティブ ドメイン (上位 5%) の3 つのカテゴリに分類されます。
通常、正規のサービスへのトラフィックは徐々に増加しますが、長期間休眠していたドメイン名に突然大量のトラフィックが発生するのは極めて異常です。
図2 使用前後の時間と流れの関係
2021 年 9 月には、戦略的に休止中のドメインが 1 日あたり約 26,000 個検出される可能性があります。上に示すように、正規化後、リクエストされたトラフィックは平均 11.3 倍に増加します。
図3 ドメイン名分類の構成
これらのドメイン名の脅威をさらに評価するには、これらのドメイン名を「悪意がある」、「疑わしい」、「作業に安全ではない」などに分類します。悪意のあるドメインには、マルウェア、C&C、フィッシング、または VirusTotal でベンダーによって悪意があるとフラグが付けられたドメインが含まれます。不審なドメイン名には、
パーキング、不審でリスクの高いドメイン名などが含まれます。ポルノ、アダルト、ギャンブル、および類似のコンテンツは安全でないドメインとして分類されましたが、残りはその他としてマークされました。
戦略的に休眠中のドメインの 3.8% が悪意のあるドメインであり、
新規登録ドメインの 1.27% の 3 倍以上高かった。「悪意がある」「疑わしい」「仕事に安全ではない」の合計は 4 分の 1 近くになります。
DGA検出
ソーラーウィンズ
SolarWinds サプライ チェーン攻撃の休止期間中、SUNBURST トロイの木馬は C&C ドメイン名 avsvmcloud.com と定期的に通信していましたが、トラフィックは非常に限られていました。
攻撃者がマルウェアをアクティブ化した後、DNS リクエストの急増のほとんどは新しいサブドメインに対するものでした。SUNBURST トロイの木馬は、
DGAstring.appsync-api.region.avsvmcloud.com 形式の DGA ドメイン リクエストを生成します。これには、エンコードされた被害者の ID、感染組織のドメイン、使用されているセキュリティ製品のステータスが含まれます。
攻撃者がリクエストを受け取ると、渡された情報に従って、異なる C&C サーバーを指す CNAME レコードを返します。
検出
同様の C&C トラフィックを捕捉するために、パロアルトネットワークスは、戦略的に休止中のドメインのすべてのサブドメインを積極的にスキャンし、WHOIS レコードやその他の追加情報に基づいて正規のサービスを特定します。
図 4 DGA ドメイン名の累積分布
平均して、1 日に 2 つの疑わしいドメイン名が特定されます。使用開始後、各戦略的休止ドメイン名には、161 個の DAG サブドメインを含む、約 2443 個の新たなサブドメインが存在します。上のグラフは、
アクティブ化後の DGA トラフィックの割合の累積分布プロット (CDF) を示しており、ドメインの半分が 36.76% を超える DGA トラフィックを持っています。
APT
2021 年 7 月に、Pegasus からの異常な DNS トラフィックが検出されました。検出で見つかった 2 つの C&C ドメイン (permalinking.com と optimizearrangement.net) は
どちらも 2019 年に登録されており、2021 年 7 月に使用が開始されたときにのみ大量の DGA トラフィックが生成されました。
Pegasus は、iOS および Android デバイスに感染して、認証情報を収集し、通話ログや位置情報ログなどのユーザーの行動を追跡する可能性があります。
[外部リンク画像の転送に失敗しました。ソース サイトには盗難防止リンク メカニズムがある可能性があります。画像を保存して直接アップロードすることをお勧めします (img-ACbWK5yx-1690462522808)(https://image.3001.net/images/) 20220106/1641472247_61d6e0f701368fc6a7aef.png!small)]
図 5 ドメイン名のアクセス統計
上に示したように、2021 年 7 月 18 日までは、1 日あたり平均 15 件のドメイン名リクエストが発生します。運用開始後、DNS トラフィックは 56 倍に増加しました。攻撃者は、imgdsg4f35.permalinking.com や php78mp9v.opusedarrangement.net など、いくつかのサブドメインを使用しました
。全体として、DGA
トラフィックは全体のトラフィックとともに増加し、DGA トラフィックの割合も大幅に増加します。DGA トラフィックの割合は、7 月 18 日以前は 23.22%、それ以降は 42.04% でした。
フィッシング
SolarWinds サプライ チェーン攻撃で見られたものと同様のフィッシング攻撃で DGA サブドメインを使用し、実際の悪意のある Web サイトにプロキシの層を提供する攻撃者もいます。たとえば、URL に特定のパラメータが含まれている場合、
jcxivnmqfqoiopdlvejvgucpmrfgmhwdlrkvzqyb.ui1io.cn
は訪問者を別のフィッシング DGA ドメイン gjahqfcyr.cn にリダイレクトします。
それ以外の場合は、ユーザーを正規の銀行 Web サイトにリダイレクトします。したがって、このドメイン名には、転用を隠す機能もあり、実際のフィッシング内容を非被害者や爬虫類から隠す機能もあります。2021 年
10 月 2 日、DGA サブドメイン名 ui1io.cn が異常に増加していることが判明しました。
図 6 ページジャンプロジック
フィッシング攻撃では、DGA 文字列を使用してドメイン占有用のドメイン名を生成することもできます。これらの文字列は、ルート ドメインから欺瞞的な部分を分離します。たとえば、mailingmarketing.net は
2020 年に登録されました。
2021 年 9 月 23 日に戦略的休止ドメインとして検出され、 uk.id.login.update.ssl.encryption-6159368de39251d7a-login.id.security.trackid サブドメイン .piwikb7c1867dd7ba9c57.fd685e42f1d69c71708などの 47 の新興 DGA サブドメインとともに検出されましたff549fea71274.mailingmarketing.net
偽のウイルス スキャン ページを展開しました。ドメイン名が長すぎるため、被害者は最初の部分しか気付かず、それが正当なログイン ドメイン名であると考える可能性があり、特にモバイル ブラウザでは通常、FQDN を完全に表示できません。
ワイルドカードの乱用
一部のブラック製品もインフラストラクチャの構築に DGA サブドメインを使用します。たとえば、fiorichiari.com のワイルドカード レコードは、すべてのサブドメインが同じ IP アドレスを指すようにします。
図 7 ドメイン名ごとにデプロイされた Web サイト
サービスの運営者は 2021 年 7 月 27 日にドメイン名を登録し、その後 2021 年 9 月 29 日に DNS リクエストの急増に気づきました。
これらのドメイン名はランダムに生成された Web サイトに関連付けられており、テキストの内容はランダムな文字列が埋め込まれた Web サイトのテンプレートであり、ブラック ハット SEO であると推測されます。
結論は
攻撃者は、攻撃のかなり前からバックアップ ドメイン名を登録する傾向が強くなっています。APTによって使用されるマルウェア
は、長い間休止状態にあり、突然アクティブになってより多くのトラフィックを生成する可能性があります。このトラフィックの急激な増加の特徴に基づいて、戦略的な休眠ドメイン名を検出することが非常に必要です。
やっと
「おそらく」最も包括的な学習方法である [ネットワーク セキュリティ] を簡単に学習する方法を共有します。
1. ネットワーク セキュリティの理論的知識 (2 日間)
① 業界関連の背景、展望を理解し、開発の方向性を決定します。
②ネットワークセキュリティに関する法令を学びます。
③ネットワークセキュリティ運用の考え方。
④多重保証の導入、保証規定、手順、規範。(とても重要です)
2. ペネトレーションテストの基礎(1週間)
①ペネトレーションテストのプロセス、分類、基準
②情報収集技術:アクティブ/パッシブ情報収集、Nmapツール、Googleハッキング
③脆弱性スキャン、脆弱性活用、原則、活用方法、ツール(MSF)、Bypass IDS、ウイルス対策偵察
④ ホスト攻撃・防御訓練:MS17-010、MS08-067、MS10-046、MS12-20など
3. オペレーティングシステムの基礎(1週間)
①Windowsシステムの共通機能とコマンド
②Kali Linuxシステムの共通機能とコマンド
③オペレーティングシステムのセキュリティ(システム侵入トラブルシューティング/システム強化基礎)
4. コンピュータネットワーク基礎(1週間)
①コンピュータネットワーク基礎、プロトコル、アーキテクチャ
②ネットワーク通信原理、OSIモデル、データ転送プロセス
③共通プロトコル解析(HTTP、TCP/IP、ARP等)
④ネットワーク攻撃技術、ネットワークセキュリティ防御技術
⑤Web脆弱性の原則と防御: アクティブ/パッシブ攻撃、DDOS 攻撃、CVE 脆弱性の再発
5. データベースの基本操作(2日間)
①データベースの基礎
②SQL言語の基礎
③データベースのセキュリティ強化
6. Webペネトレーション(1週間)
①HTML、CSS、JavaScript入門
②OWASP Top10
③Web脆弱性スキャンツール
④Webペネトレーションツール:Nmap、BurpSuite、SQLMap、その他(チョッパー、欠落スキャン等)
おめでとうございます。これを学べば、基本的にペネトレーション テスト、Web ペネトレーション、セキュリティ サービス、セキュリティ分析などのネットワーク セキュリティに関連する仕事に就くことができます。セキュリティ モジュールをしっかり学べば、セキュリティ モジュールとして働くこともできます。セキュリティエンジニア。給料の範囲は6万~15万です。
ここまでで約1ヶ月。あなたは「スクリプトキディ」になっています。さらに詳しく調査したいですか?
ハッキングとネットワーク セキュリティに参加したい友人の皆さん、私は全員のためにコピーを用意しました。ネットワーク全体で最も完全なネットワーク セキュリティ データ パッケージである 282G を無料で提供します。
【記事末尾のカード】をクリックして無料で入手してください
これらの基礎を踏まえて、より深く学習したい場合は、以下の非常に詳細な学習ロードマップを参照してください。このルートに従って学習するだけで、優れた中級および上級のネットワーク セキュリティ エンジニアになることができます。
[高解像度の学習ロードマップまたは XMIND ファイル (記事の最後にあるカードをクリックして入手します)]
研究で収集されたビデオやドキュメントのリソースもいくつかあり、必要に応じて自分で撮影できます。
セクションに対応する各成長パスのサポートビデオ:
もちろん、サポートビデオに加えて、さまざまなドキュメント、書籍、資料& ツールも整理されており、誰もが分類するのに役立ちます。
スペースに限りがあるため、一部しか掲載しておりませんが、必要な方は【下のカードをクリックして無料で入手してください】