English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
DNS をターゲットに RAT と犬の雨が降っている: Infoblox は Decoy Dog の適応にどのように対応しているか
Jul 15, 20232023 年 8 月 1 日 18:37 EDT 更新
ゲストコラム by ゼウス・ケラバラ
Infoblox Inc. は最近、同社が 4 月に発見した「Decoy Dog」と呼ばれるリモート アクセス ツールキット (RAT) に関する最新情報を提供する 2 番目の脅威レポートを公開しました。 コマンド アンド コントロールを確立するために、Decoy Dog はドメイン ネーム システムを使用します。 同社はまた、これが国家がサイバー攻撃に使用する秘密ツールであると疑っている。
Infoblox が RAT (具体的には、Pupy として知られる RAT の亜種) のことを暴露すると、攻撃者はその継続的な運用を確保するように適応しました。 同社は、4月23日に調査結果を発表して以来、Decoy DogとPupyの調査を続けていると述べている。同社は脅威レポートの中で、Decoy DogはPupyの大幅なアップグレードであると書いている。 パブリック リポジトリにないコマンドと設定が使用されます。
Infoblox は、Decoy Dog クライアントの通信を分離し、各コントローラーに関する他のいくつかのプロパティを推測するアルゴリズムを開発したと報告しています。 新しいアルゴリズムは、私たちがしばらく考えてきたことを強調しています。つまり、DNS が安全でない場合、企業全体が正面玄関のロックを解除したままにしておくのと同じことです。 Infoblox には、市販の DNS 検出および応答 (DNSDR) システムがあります。
DNSDR は、典型的な攻撃シーケンスに対処するための十分な装備を備えています。 たとえば、攻撃者はいわゆる兵器化段階で悪意のあるペイロードを作成する可能性があります。 その後、多くの場合、スピアフィッシングメールを通じてペイロードをターゲットに配信します。
次に、ユーザーがリンクをクリックすると、デバイスはインターネットの場所への接続を要求し、DNS サーバー経由で検索が行われます。 次世代ファイアウォールや Web ゲートウェイなどのネットワーク セキュリティ デバイスがトラフィックの処理を開始し、その後接続が確立されます。 接続が確立されると、ペイロードがダウンロードされ、ターゲット デバイス上で実行されます。
このプロセスの最初のステップは DNS を通じて行われます。 DNSDR を導入すると、企業は重要なインフラストラクチャに影響を与える前に脅威を排除できます。 おとり犬とパピーもそうでした。
Infoblox は、マルウェアとオペレーターの主要な特徴を学習したと述べています。 Decoy Dog の使用が拡大し、世界中の幅広い組織に影響を与えるリスクがあると同社は考えています。
Infoblox の最高経営責任者であるスコット・ハレル氏は、「組織が Decoy Dog のような脅威を検出し軽減するために、DNS が防御の第一線となるべきであることは直感的です」と述べています。 「Decoy Dog で実証されたように、攻撃者の戦術とテクニックを研究して深く理解することで、マルウェアとして知られる前に脅威をブロックすることができます。」
このような脅威から防御するには、別のアプローチが必要です。 典型的なマルウェアのターゲットに焦点を当てると、組織はエイトボールから取り残されます。 RAT や犬から守るには、DNS 中心のアプローチが必要です。特に Infoblox がプレスリリースで引用した統計を考慮すると、ディレクターの Anne Neuberger 氏によると、マルウェア攻撃の 90% 以上が、標的のネットワーク上でコマンド アンド コントロールを確立するために DNS を利用しています。国家安全保障局でサイバーセキュリティを担当。 DNS を監視しないままにしている組織は、インフラストラクチャに脅威が存在し、重大な損害を与える危険があります。
Infoblox は、21 個の Decoy Dog ドメインを監視しており、その一部は先月以内に登録されたと述べています。 ここで重要なのは、組織が業界調査を監視し、DNS を早期警告システムとして使用することです。 Infoblox は先陣を切っています。
Infoblox の脅威インテリジェンス責任者である Renee Burton 博士は、8 月 9 日にラスベガスの Black Hat で講演します。今年の Renee の講演では、RAT と犬についての興味深い議論が行われるはずです。 そして、今からその時までの間に、さらに多くの発展が起こるだろうと私は確信しています。 Infoblox は、Black Hat ショーで Decoy Dog データセットを操作するためのユニークな実践体験を参加者に提供します。