グローバル DNS ハイジャック キャンペーン: 大規模な DNS レコード操作

序章

FireEye の Mandiant Incident Response and Intelligence チームは、DNS ハイジャックの波を特定しました。この波は、中東、北アフリカ、ヨーロッパ、北アメリカの政府、電気通信、およびインターネット インフラストラクチャ エンティティに属する数十のドメインに影響を与えています。現在、この活動を追跡グループと関連付けることはできませんが、最初の調査では、関与した攻撃者がイランと関係があることが示唆されています。このキャンペーンは、ほぼ前例のない規模で世界中の被害者を標的にしており、高い成功率を誇っています。私たちはこの活動を数か月にわたって追跡し、攻撃者が展開した革新的な戦術、技術、手順 (TTP) をマッピングして理解してきました。また、被害者、セキュリティ組織、法執行機関と緊密に協力して、攻撃の影響を軽減したり、さらなる侵害を防いだりしています。

このキャンペーンはいくつかの伝統的な戦術を採用していますが、大規模な DNS ハイジャックを利用することで、これまで確認された他のイランの活動とは区別されています。攻撃者は最初の足場としてこの手法を使用し、その後さまざまな方法で悪用される可能性があります。このブログ投稿では、DNS レコードを操作して被害者の侵害を可能にする 3 つの異なる方法について詳しく説明します。 Let’s Encrypt 証明書の作成と A レコードの変更を含む手法 1 は、 シスコの TALOS チームによって以前に文書化されていました。彼らのブログ投稿に記載されているアクティビティは、私たちが観察したアクティビティのサブセットです。

初期の研究はイランの後援を示唆している

このアクティビティの属性分析は進行中です。この投稿で説明されている DNS レコードの操作は注目に値する洗練されたものですが、活動はさまざまな時間枠、インフラストラクチャ、およびサービス プロバイダーにまたがっているため、単一の脅威アクターに限定されたものではない可能性があります。

  • この活動の複数のクラスターは、2017 年 1 月から 2019 年 1 月までアクティブでした。
  • このアクティビティで使用される、アクターが制御するドメインと IP の重複しないクラスターが複数あります。
  • 暗号化証明書と VPS ホストには、幅広いプロバイダーが選択されました。

予備的な技術的証拠により、この活動がイランに拠点を置く人物によって行われ、その活動がイラン政府の利益と一致していることを、ある程度の確信を持って評価することができます。

  • FireEye Intelligence は、イランの IP から、ネットワーク トラフィックの傍受、記録、転送に使用されるマシンへのアクセスを特定しました。 IP アドレスの位置情報は弱い指標ですが、これらの IP アドレスは以前、イランのサイバー スパイ アクターによる侵入への対応中に観察されました。
  • このグループの標的となっている組織には、イラン政府にとって重要な機密情報があり、金銭的価値が比較的低い中東政府が含まれます。

詳細

次の例では、被害者ドメインの代わりにvictim[.]comを使用し、アクターが制御するIPアドレスの代わりにプライベートIPアドレスを使用しています。

テクニック 1 – DNS A レコード

攻撃者が利用する最初の方法は、図 1 に示すように、DNS A レコードを変更することです。

 

DNS A レコード

図 1: DNS A レコード

  1. 攻撃者は、属性のないブラウジングを実行し、他のインフラストラクチャへのジャンプボックスとして使用されるプロキシ ボックスであるPXY1にログインします。
  2. 攻撃者は、以前に侵害された資格情報を利用して、DNS プロバイダーの管理パネルにログインします。
  3. A レコード (例: mail[.]victim[.]com ) は現在192.168.100.100を指しています。
  4. 攻撃者は A レコードを変更し、それを10.20.30.40 (OP1)にポイントします。
  5. 攻撃者はPXY1からOP1にログインします。
    • mail[.]victim[.]comをミラーリングして、開いているすべてのポートをリッスンするプロキシが実装されています。
    • ロード バランサーは192.168.100.100 [mail[.]victim[.]com]をポイントして、ユーザー トラフィックを通過させます。
  6. certbot は、 mail[.]victim[.]comの Let’s Encrypt 証明書を作成するために使用されます。
    • このキャンペーンの一環として、複数のドメイン コントロール検証プロバイダーが利用されていることが確認されています。
  7. ユーザーがmail[.]victim[.]comにアクセスすると、OP1 に誘導されます。 Let’s Encrypt 証明書を使用すると、 Let’s Encrypt Authority X3が信頼されているため、ブラウザーは証明書エラーなしで接続を確立できます。接続は、実際のmail[.]victim[.]comとの接続を確立するロード バランサーに転送されます。ユーザーは変更に気付かず、わずかな遅延に気付くだけかもしれません。
  8. ユーザー名、パスワード、およびドメイン資格情報が収集され、保存されます。
テクニック 2 – DNS NS レコード

攻撃者が利用した 2 番目の方法は、図 2 に示すように、DNS NS レコードを変更することでした。

 

DNS NS レコード

図 2: DNS NS レコード

  1. 攻撃者は再びPXY1にログインします。
  2. ただし今回は、攻撃者は以前に侵害されたレジストラまたは ccTLD を悪用します。
  3. ネームサーバー レコードns1[.]victim[.]comは現在192.168.100.200に設定されています。攻撃者は NS レコードを変更し、それをns1[.]baddomain[.]com [10.1.2.3]に向けます。このネームサーバーは、 mail[.]victim[.]comが要求された場合は IP 10.20.30.40 (OP1)で応答しますが、www[.]victim[.]com の場合は元の IP 192.168.100.100で応答します。
  4. 攻撃者はPXY1からOP1にログインします。
    • mail[.]victim[.]comをミラーリングして、開いているすべてのポートをリッスンするプロキシが実装されています。
    • ロード バランサーは192.168.100.100 [mail[.]victim[.]com]をポイントして、ユーザー トラフィックを通過させます。
  5. certbot は、 mail[.]victim[.]comの Let’s Encrypt 証明書を作成するために使用されます。
    • このキャンペーン中に、複数のドメイン コントロール検証プロバイダーが利用されていることが確認されています。
  6. ユーザーがmail[.]victim[.]comにアクセスすると、 OP1に誘導されます。 Let’s Encrypt 証明書を使用すると、 Let’s Encrypt Authority X3が信頼されているため、ブラウザーは証明書エラーなしで接続を確立できます。接続は、実際のmail[.]victim[.]comとの接続を確立するロード バランサーに転送されます。ユーザーは変更に気付かず、わずかな遅延に気付くだけかもしれません。
  7. ユーザー名、パスワード、およびドメイン資格情報が収集され、保存されます。
テクニック 3 – DNS リダイレクター

攻撃者は、上記の図 1 または図 2 と組み合わせて 3 番目の手法を使用することも確認されています。これには、図 3 に示すように、DNS リダイレクターが含まれます。

 

DNS操作ボックス

図 3: DNS 操作ボックス

DNS Redirector は、DNS 要求に応答する攻撃者の操作ボックスです。

  1. mail[.]victim[.]comの DNS 要求がOP2に送信されます (以前に変更された A レコードまたは NS レコードに基づく)。
  2. ドメインがvictim[.]comゾーンの一部である場合、 OP2は攻撃者が制御するIPアドレスで応答し、ユーザーは攻撃者が制御するインフラストラクチャにリダイレクトされます。
  3. ドメインがvictim.comゾーンに含まれていない場合(例: google[.]com)、 OP2は正規のDNSにDNSリクエストを送信してIPアドレスを取得し、正規のIPアドレスがユーザーに返されます。

ターゲット

多くの組織が、このパターンの DNS レコード操作と不正な SSL 証明書の影響を受けています。これらには、通信および ISP プロバイダー、インターネット インフラストラクチャ プロバイダー、政府および機密性の高い営利団体が含まれます。

根本原因はまだ調査中

レコードの変更ごとに単一の侵入ベクトルを特定することは困難であり、アクターが複数の手法を使用して、上記の各ターゲットへの最初の足がかりを獲得している可能性があります。 FireEye インテリジェンスのお客様は、DNS レコードの操作も行う 1 人の攻撃者によって使用された高度なフィッシング攻撃について説明する以前のレポートを受け取りました。さらに、DNS レコードが変更された正確なメカニズムは不明ですが、少なくとも一部のレコードは、被害者のドメイン レジストラー アカウントが侵害されて変更されたと考えられます。

予防戦術

攻撃者が組織のネットワークに直接アクセスできなくても、貴重な情報が盗まれる可能性があるため、この種の攻撃を防御することは困難です。組織を強化するための手順には、次のようなものがあります。

  1. ドメインの管理ポータルに多要素認証を実装します。
  2. A および NS レコードの変更を検証します。
  3. ドメインに関連する SSL 証明書を検索し、悪意のある証明書を無効にします。
  4. OWA/Exchange ログでソース IP を検証します。
  5. 内部調査を実施して、攻撃者が環境にアクセスしたかどうかを評価します。

結論

この DNS ハイジャックと、それが悪用された規模は、イランを拠点とする攻撃者の戦術が進化し続けていることを示しています。これは、複数のエンティティに影響を与えることが最近確認された一連の TTP の概要です。潜在的なターゲットが適切な防御アクションを実行できるように、現在それを強調しています。

参照: https://www.mandiant.com/resources/blog/global-dns-hijacking-campaign-dns-record-manipulation-at-scale

Comments

タイトルとURLをコピーしました