Malwarebytesは以前、「APT34」として特定されている持続的標的型攻撃(APT: Advanced Persistent Threat)グループが、「Saitama」と呼ばれる新しいバックドアを利用してヨルダン外務省の政府関係者を標的としたサイバー攻撃を実施していることを確認していると伝えていた(参考「巧妙なバックドア「Saitama」を発見、ヨルダン政府組織を攻撃 | TECH+」)。
-
How the Saitama backdoor uses DNS tunnelling|Malwarebytes Labs
2022年5月25日(米国時間)、Malwarebytesは「How the Saitama backdoor uses DNS tunnelling | Malwarebytes Labs」において、このSaitamaがどのようにしてコマンド&コントロール(C&C)サーバと通信を行っていたかの詳細な説明を掲載した。マルウェアが巧妙にセキュリティソフトウェアによる検出を回避していることが示されている。
SaitamaはC&Cサーバとの通信にDNSを使っている。DNSはインターネットを支える根幹技術の一つであり、この仕組みを利用しないでインターネットを活用することはかなりの困難を伴う。このため、企業はDNSに関してはファイアウォールで規制の対象とはしていないことが多く、規制をすり抜けて通信を行う方法として利用することができる。
ただし、現在DNSは暗号化されていない状態で使われることがほとんどであるため、DNSメッセージにそれがC&Cサーバとの通信であることを悟られないように巧妙にメッセージを隠蔽する必要がある。Saitamaはこれを実現する方法として、まず基本的に次のシンタックスをドメインルックアップに採用しているという。
Saitamaが使っていたドメインルックアップのシンタックス
ドメイン = メッセージ, カウンタ.ルートドメイン
カウンタは通信を要求する最初の段階でランダムに生成される数値だ。SaitamaはこれをBase36でエンコードして使用する。ただし、エンコードにはC&CサーバとSaitamaで保持しているハードコードされたBase36が使われており一般的なエンコードとは異なっている。
そして、このカウンタを使ってメッセージ部分をエンコードすることで通信を秘匿している。一見すると通常のDNSルックアップに見えるが、C&Cサーバは送られてくるメッセージを解析してデコードし、そこからメッセージを読み取って返事を行う。通信ごとにカウンタはアップされ、メッセージのエンコードとデコードに使われる。こうした一見するとDNSのやり取りのように見えるメッセージの中に、C&Cサーバとのメッセージのやり取りが隠蔽されていたと説明されている。
このような手法は「DNSトンネリング」と呼ばれており、C&Cサーバと秘匿通信を行う際に使われている。サイバー犯罪者はさまざまな方法を考案し、セキュリティソフトウェアに検出されないように通信を行っている。
![Proselfの脆弱性対応に学ぶ、利用者本位の信頼回復プロセス [事故対応アワード受賞]](/techplus/article/20240618-secraward-proself/index_images/index.jpg/iapp)
