IRCチャネルは,設定と利用が非常に簡単なことから,ゾンビ・パソコンとボット・ハーダー(攻撃者)の間でデータをやり取りする際の通信手段として使われてきた。容易に任意のTCPポートで通信できるため,Well-Knownポート番号を制御では必ずしもIRCトラフィックを遮断できない。
ところが当社が最近調査した,バックドアを仕掛けるトロイの木馬(Backdoor.Fonamebot)のコンセプト実証(POC)で,ゾンビ・パソコンとボット・ハーダーの間の通信が進化していることが分かった。IRCチャネルに代わる方法が示されたのである。我々が確認したのは,DNSプロトコルを介してデータを送受信する新種のバックドアだ。
DNSは,現在インターネットで最も幅広く使用されているプロトコルの一つである。Webページにアクセスしたり,電子メールを送ったりするたび,これらの処理のどこかでDNSサーバーが利用されている。例えば,Webブラウザにアドレス「www.symantec.com」を入力すると,このWebページが表示されるまでに複数の処理が行われる。最初に行われる処理のなかには,ローカルDNSサーバーにDNSクエリーを送信し,人間向けの形式で記述されたアドレスを,コンピュータによる理解と処理に適したIPアドレスへ変換するよう求める手順がある。
DNSクエリーは再帰的に実行される。ローカルDNSサーバーが指定されたアドレス名を把握していない場合,この要求を別のDNSサーバーに転送し,答えが見つかるまで転送を繰り返す。アドレスが見つかったら,DNSサーバーはIPアドレスをコンピュータに返し,その後,このIPアドレスを使用して実際のHTTP要求が目的のWebサーバーに送られる。つまり,この点において,DNSはインターネットを円滑に運営する上で欠かせないものになっている。あまりにも重要なため,DNSサーバーが万一オフラインにでもなれば,インターネットは事実上ストップしてしまうだろう。しかし,インターネットから全幅の信頼を置かれている,このDNSインフラが汚染されたら,どうなってしまうのか。
インターネットのいたるところでやり取りされる正規の全DNSトラフィックに潜伏可能なマルウエアが存在すると仮定しよう。そうなった場合,コトはかなりやっかいだ。DNSトラフィックのみを単純に遮断することはできないからだ。
この問題は,セキュリティに派生する可能性がある。例えば,攻撃パターンの一つとして,攻撃者が悪意のあるDNSサーバーを設定し,コマンドやデータの送受信を行うことが考えられる。攻撃者は,バックドアを仕掛けるトロイの木馬のいずれかがコンピュータに感染するまで待機する。感染されたコンピュータは,攻撃者のコントローラとの接続確立を試みる。この接続処理は,DNSクエリーをローカルDNSサーバーに送信し,特定のアドレス(このアドレスは,攻撃者のDNSサーバーしか知り得ないサーバー名の形式でコマンドを符号化する)を検索させることで行う。ローカルDNSサーバーはこのアドレスを知らないため,別のDNSサーバーにクエリーの転送を開始し,この転送が繰り返された結果,悪意のあるドメインに辿り着く。悪意のあるDNSサーバーは,DNSプロトコルの規定内で整形されたメッセージを返す。このメッセージには,トロイの木馬を実行するためのコマンドまたはデータのいずれかが含まれることになる。コマンドそのものは,偽のIPアドレス内で符号化されているため,その通信が正規のものなのか,悪意のあるものなのかは見分けにくい。
上記の方法を利用すると,トロイの木馬はDNSプロトコルを介してコントローラと自由にやりとりすることが可能だ。DNSを単純に遮断することはできないため,このようなバック・チャネル通信を防ぐことは難しい。今回のPOCは,2004年にDan Kaminsky氏が発表した内容がベースとなっている。将来は,ボットネット作成者が今回のようなバック・チャネル通信を利用するのを目の当たりにすることになるだろう。DNSトラフィックについて詳細な検討を始める時期にさしかかっているといえる。
Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「DNS Botnet Phun」でお読みいただけます。
