スレットリサーチラボの実例: DNSシンクホールの観測
スレットリサーチラボが実施している情報収集のひとつとしてDNSシンクホールの観測がある。DNSシンクホールとは、マルウェアが通信先として利用していたドメインに対する通信リクエストを観測する観測手法である。
近年増加している標的型攻撃に使われるマルウェアの場合、C&Cサーバと呼ばれる攻撃者がマルウェアをリモートで制御する指令サーバと通信を行う。指令サーバは短期間で次々に変わることも多く、使用されているドメインがメンテナンスされておらず失効していることがある。
そこで実際に標的型攻撃に使用されたマルウェアを解析したり、そのマルウェアの通信ログを解析したりすることで、マルウェアの通信先のドメインを抽出する。通信先ドメインのうち失効しているものを探し、そのドメインを取得する。別途設置したDNSサーバでそのドメインへの名前解決リクエストを受け取るように設定し、取得したドメインの名前解決リクエストの発生状況を観測する。
DNSシンクホール観測概要図
観測対象のドメインは既に失効しており指令サーバは存在していないため、当該ドメインに対し、通信しようとしても攻撃は成功しない。しかし、当該ドメインへのリクエストはマルウェアが指令サーバに対して通信をしようとしている挙動であると推測できる。よって、DNSサーバに対する観測対象ドメインの名前解決リクエストは、マルウェアに感染したままになっている端末からのリクエストであると考えられる。
マルウェアの通信先ドメインの抽出、失効した指令サーバのドメインの取得、およびDNSサーバによる対象ドメインへの名前解決リクエストの観測環境の構築は、前述の情報収集のためのセンサの設置にあたる。そして、DNSサーバに対する名前解決リクエストのログ収集は、センサからのデータ収集といえる。
このようにして収集したDNSリクエストログのリクエスト元のIPアドレスを調査することで、IPアドレスの割り当て情報などからマルウェアに感染している組織を推測することができる。また、リクエスト元IPアドレスを国ごとに分類すると、観測対象ドメインを通信先とするマルウェアに感染している組織の分布状況を把握することが可能になる。