HOME»情報処理安全確保支援士掲示板»午後Ⅰ問2 設問2(4)
投稿する

午後Ⅰ問2 設問2(4) [1108]

 あっぽさん(No.1) 
問題:https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000dict-att/2019r01a_sc_pm1_qs.pdf

午後Ⅰ問2 設問2(4)

名前解決のときに『ホスト名.ドメイン名』のホスト名に漏えいする情報を格納するマルウェアが存在するのはわかりました。

ですが、これはAレコードではなく、TXTレコードなのでしょうか?

itecで似たような問題が出ており、『TXTレコードを使用してC&Cサーバと通信を行う』と書いてます。
マルウェアからC&Cサーバへの通信がAレコードならまだわかるのですが、DNSトンネリングを検索したところTXTレコードが正しい気がしてきました。

マルウェアからC&CサーバのリクエストとC&Cサーバからマルウェアへのレスポンスを含めて、DNSトンネリングについてご教授お願いします!
2023.04.12 00:43
 あっぽさん(No.2) 
令和元年秋
午後Ⅰ問2 設問2(4)です。
2023.04.12 00:44
pixさん(No.3) 
SC ダイヤモンドマイスター
DNSのTXTレコードはDNSに関するメモのような情報を格納するための
レコードです。TXTレコードは好きな内容を書くことができます。
ここにマルウェアに対する攻撃指示を書いておきます。

ちなみに送信ドメイン認証のSPFレコードはTXTレコードを間借りして
送信元メールサーバのIPアドレスを記載しています。

・マルウェアからC&Cサーバへの情報漏えいの方法
  マルウェアがホスト名に漏えいする情報を埋め込んで、Aレコードを検索

・C&Cサーバからマルウェアへ攻撃指示を伝える方法
  マルウェアがC&CサーバのドメインのTXTレコードの検索
2023.04.12 07:14
 あっぽさん(No.4) 
Aレコードであってるんですね。
確認ができてよかったです。ありがとうございます。
2023.04.12 12:55
 あっぽさん(No.5) 
すみません。

>・マルウェアからC&Cサーバへの情報漏えいの
>マルウェアがホスト名に漏えいする情報を埋め込>>んで、Aレコードを検索
これはTXTレコードでも可能でしょうか?
可能な場合、令和元年午後Ⅰ問2の設問2(5)の答えは、特定ドメインに対する多数のTXTレコード』でもいいのでしょうか?

>・C&Cサーバからマルウェアへ攻撃指示を伝える
>マルウェアがC&CサーバのドメインのTXTレコー>ドの検索
c&cサーバからマルウェアのドメインのTXTレコードを検索であってますでしょうか?
TXTレコードとは、コマンドなのでしょうか?
c&cサーバからTXTレコードをする方法って具体的にはどうやるのでしょうか?
2023.04.12 18:27
pixさん(No.6) 
SC ダイヤモンドマイスター
>これはTXTレコードでも可能でしょうか?
>可能な場合、令和元年午後Ⅰ問2の設問2(5)の答えは、特定ドメインに対する
>多数のTXTレコード』でもいいのでしょうか?
これというのは何を指していますか?
クエリのタイプがTXTということでよろしいでしょうか?

C&CサーバはDNSサーバに偽装したサーバです。本物のDNSサーバである必要はありません。
動作しては53/udpでListenして、飛んできたパケットをうとればいいだけです。
なので、クエリタイプがAやTXTというのはあまり意味がありません。
ざっくり言えばなんでもいいです。
レスポンスも適当で構いません。


>c&cサーバからマルウェアのドメインのTXTレコードを検索であってますで
>しょうか?
>TXTレコードとは、コマンドなのでしょうか?
>c&cサーバからTXTレコードをする方法って具体的にはどうやるのでしょうか?
「c&cサーバからマルウェアのドメインのTXTレコード」ではなく、
逆で「マルウェアからC&CサーバのドメインのTXTレコード」です。
TXTレコードとはDNSのレコードタイプの一つです。
nlsookupはデフォルトはAレコードの検索にいきます
例として
nslookup www.google.com
でwww.google.comのAレコードとしてIPアドレスが返ってきます

Aレコード以外のレコードを検索するときは明示的にタイプを指定する必要があります。
以下のコマンドで"google.com"ドメインのTXTレコードが検索できます。
nslookup -type=txt google.com


本問を理解するにあたって、
・DNSの知識
・TCP/IPの知識
・基本的なサーバの知識
・socketプログラミングの知識
などが必要と思われます。

具体的には
・NWの範囲の7割程度の理解
・CCNAと同程度の知識
・LPIC Level2(202)と同程度の知識
・C言語でのネットワークプログラミングの知識
SCの知識とは別に、このあたりを身に着けておく必要があると思われます。
2023.04.12 19:03
 あっぽさん(No.7) 
>nslookup -type=txt google.com

コマンド叩いてみました。こうやってマルウェアからc&cサーバから攻撃指示をもらうわけですか。
とてもわかりやすかったです。
ありがとうございます。

マルウェアから情報を漏えいさせるには、TXTレコードでもAレコードでもいいんですね。
c&cサーバって偽装したDNSサーバなんですね。

CCNAとかLPIC終わったら勉強します。
ほんとうにありがとうございました!
2023.04.12 19:15
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop