DNS

通常のインターネット アクティビティとは異なる異常な DNS トラフィックを調査した結果、「Decoy Dog」と呼ばれる企業を標的とする新しいマルウェア ツールキットが発見されました。

Decoy Dog は、攻撃者が戦略的なドメイン エージングと DNS クエリ ドリブルによって標準的な検出方法を回避するのを支援し、サイバー犯罪活動の促進に切り替える前に、セキュリティ ベンダーとの良好な評判を確立することを目指しています。

Infoblox の研究者は、2023 年 4 月初旬に、異常または疑わしいアクティビティの兆候を探すために毎日 700 億を超える DNS レコードを分析する一環として、ツールキットを発見しました。

Infoblox の報告によると、Decoy Dog の DNS フィンガープリントは、インターネット上の 3 億 7000 万のアクティブなドメインの中で非常に珍しく、一意であるため、識別と追跡が容易になります。

そのため、Decoy Dog のインフラストラクチャを調査すると、同じ操作に関連する複数の C2 (コマンド アンド コントロール) ドメインがすぐに発見され、これらのサーバーからのほとんどの通信はロシアのホストから発信されていました。

さらに調査した結果、これらのドメインの DNS トンネルには、Decoy Dog ツールキットによって展開されたリモート アクセス トロイの木馬である Pupy RAT を指す特徴があることが明らかになりました。

Pupy RAT は、ステルス性 (ファイルレス) であり、暗号化された C2 通信をサポートし、活動をツールの他のユーザーと融合させるのに役立つことから、国家が支援する脅威アクターの間で人気のあるオープンソースのエクスプロイト後のツールキットです。

Pupy RAT プロジェクトは、 Windows、macOS、Linux、Android など、すべての主要なオペレーティング システムのペイロードをサポートしています。他の RAT と同様に、攻撃者がリモートでコマンドを実行し、権限を昇格させ、資格情報を盗み、ネットワークを介して横方向に拡散することを可能にします。

スキルの低いアクターは Pupy RAT を使用しません。C2 通信用の正しい DNS サーバー構成でツールを展開するには知識と専門知識が必要だからです。

「この複数部分 (DNS) 署名により、(相関する) ドメインが Pupy を使用しているだけでなく、それらすべてが Decoy Dog の一部であるという強い確信が得られました。Decoy Dog は、Pupy を非常に特殊な方法で企業や組織に展開する単一のツールキットです。大規模な組織の非消費者向けデバイス」と、Infoblox はレポートで明らかにしました。

さらに、アナリストは、定期的ではあるがまれな DNS 要求生成の特定のパターンに従うように構成されているすべての Decoy Dog ドメインで、明確な DNS ビーコン動作を発見しました。

Decoy Dog IPv4解決の繰り返しパターン
Decoy Dog IPv4 解決(Infoblox)の繰り返しパターン

ホスティングとドメイン登録の詳細を調査したところ、2022 年 4 月初旬から Decoy Dog の操作が進行中であったことが明らかになりました。そのため、ツールキットのドメインが分析で極端な外れ値を示しているにもかかわらず、1 年以上にわたって検出されていませんでした。

おとり犬のドメイン登録のタイムライン
Decoy Dog ドメイン登録のタイムライン(Infoblox)

Decoy Dog の発見は、大規模なデータ分析を使用して、広大なインターネットでの異常な活動を検出する能力を示しています。

「Infoblox は、そのレポートに Decoy Dog のドメインをリストし、「疑わしいドメイン」リストに追加して、防御者、セキュリティ アナリスト、および標的とされた組織がこの高度な脅威から保護できるようにしました」と InfoBlox の研究者は説明しています。

「Decoy Dog の発見、そして最も重要なことに、いくつかの一見無関係なドメインが同じ希少なツールキットを使用していたという事実は、この自動プロセスと人間プロセスの組み合わせの結果でした。」

状況は複雑であり、発見の DNS の側面に焦点を当ててきたため、将来的には、私たちだけでなく業界からも詳細が明らかになると予想しています。」

同社はまた、ブロックリストに手動で追加するために使用できるパブリックGitHub リポジトリで侵害の兆候を共有しています。