DNSログの原理とその仕組み
DNSログは、DNSプロトコルの特性を活用した、悪意のあるソフトウェアの通信行動の収集と分析に用いられる、浸透テストとマルウェア分析における一般的な手法です。
DNSログの動作は次のとおりです。
- 攻撃者が、attacker.com のようなドメインを作成する。
- 攻撃者はDNSサーバにNSレコードを設定し、ドメイン名を特定のサーバに誘導しました。
- 攻撃者は特定のサーバ上でDNSサービスを立ち上げ、リクエストの受け取りと解析を行っていた。
- 攻撃者はマルウェアをターゲットのシステムに展開し、マルウェアはC&Cサーバーとの通信を試行します。
- マルウェアはDNSプロトコルを利用したドメイン照会リクエストを送りだし、送信するデータはエンコードされ、DNSサーバにサブドメインの一部として送信されます。
- DNSサーバーはリクエストを受け取ると、そのサブドメインに関するデータを解析し、リクエストに関する情報を記録する。
- 攻撃者は DNS サーバーのログを確認し、マルウェアの通信を解析して関連データを収集できます。
DNSログを使用して、攻撃者はマルウェアとC&Cサーバーアドレス、送信されたコマンド、ダウンロードした悪意のあるファイルなどマルウェアの通信データをリアルタイムで取得できます。これは侵入テストやマルウェア分析に非常に役立ち、攻撃者はマルウェアの動作を把握し、適切な防御策を講じることができます。
