令和3年秋  午後2問2

鯖缶さん  
(No.1)
設問3(1)について頭が混乱しているのですが、
・C&CサーバそのもののIPアドレスを変える
・攻撃者が管理するDNSレコードに記載されているIPアドレスを変える
どちらの考えが正しいのでしょうか

単純にC&CサーバのIPアドレスを変えただけだとC&Cサーバを見つけられなくなるのでは、と思ってしまったのですが、公式回答でもDNSに触れてませんし・・・
かといって単純に「C&CサーバのIPアドレスを変更する」という回答でもありません

公式回答のような表現に至る理由がわかれば教えてください
2022.09.19 20:35
鯖缶さん  
(No.2)
すみません。変な文章ですね。
C&CサーバのIPアドレスはいずれにしても変えないとならないとは思ったのですが、マスも足りないし、公式回答が長々と書いているので、そう書かなければならない穴があるのか確認したくて投稿しました
2022.09.19 20:43
pixさん 
SC ダイヤモンドマイスター
(No.3)
>・C&CサーバそのもののIPアドレスを変える
>・攻撃者が管理するDNSレコードに記載されているIPアドレスを変える
両方です。

・C&CサーバのIPアドレス
最近はクラウドサービスの普及によって簡単&迅速にサーバが構築できます。
サーバを構築することによってIPアドレスを変化させることができます。
それを逆手にとって、
  ・C&Cサーバの構築
  ・短時間でC&Cサーバの削除
を繰り返します。
メジャーなクラウドであれば、世界中にリージョンがあります。
世界中のリージョンでC&Cサーバの構築&削除が絶え間なく行われています。

・DNSレコードの変更
マルウェア内部のFQDNリストに対応するDNSレコードをFast Flux手法と
呼ばれる方法でIPアドレスを変更します。
この場合は、上で作成したC&CサーバのIPアドレスに変更します。
早い場合は、数分単位でIPアドレスを変更します。
2022.09.19 21:20
鯖缶さん  
(No.4)
pix様
早々の返信ありがとうございます。
頂いたレスと公式回答をにらめっこしてなんとなくわかってきました
単純に「C&CサーバのIPアドレスを変更する」だとC&Cサーバ=1つと捉えられてしまう恐れがある気がします(IPアドレス:FQDN=1:多    ←こうではない)
つまりC&CサーバのIPとFQDNは多対多になっているから明示的に「マルウェア内のリスト内にあるFQDNが示すC&CサーバのIPアドレス」としないとダメ、と解釈しました
いかがでしょうか?

私の日本語力が低いだけかもしれませんが、「マルウェア内にFQDNで指定した」という記述がどうにも読み解けなくて悩んでました
2022.09.19 21:36
pixさん 
SC ダイヤモンドマイスター
(No.5)
>単純に「C&CサーバのIPアドレスを変更する」だとC&Cサーバ=1つと
>捉えられてしまう恐れがある気がします
>(IPアドレス:FQDN=1:多    ←こうではない)
私の実際の経験からですが、C&Cサーバは1台という単純な構成ではありません。
C&Cサーバは複数台であることが一般的です。
C&Cサーバの規模ですが、大体数十台から多い場合は一万台以上の
場合もあります。

C&Cサーバ自体で複雑なネットワークを構成しており、親子関係が
あったりします。これらはちょうどWebサーバのCDNのように機能します。
このようなC&Cサーバネットワークが世界中に張り巡らされています。
・子C&Cサーバ:実際のIPアドレスをもち、マルウェアとの通信を行う。
・親C&Cサーバ:子C&Cサーバの生成・DNS登録・削除・子C&Cサーバからの
  データ集約など
2022.09.20 02:04
pixさん 
SC ダイヤモンドマイスター
(No.6)
回答が不足していたので、追記します。
>つまりC&CサーバのIPとFQDNは多対多になっているから明示的に
>「マルウェア内のリスト内にあるFQDNが示すC&CサーバのIPアドレス」と
>しないとダメ、と解釈しましたいかがでしょうか?
多少FQDNとIPアドレスの関係の解釈が異なってると思われます。

上の回答の通り、C&Cサーバは複数台です。
対応関係も多対多になっています。
マルウェアがFQDNでC&CサーバのIPアドレスを指定する理由ですが、
FQDNとIPアドレスはDNSサーバによって紐付けられています。
このときFQDNはプログラミング言語における変数のように働き、
設定がDNS経由で変更できることを意味します。

DNSサーバは攻撃者に管理されており、設定変更も容易にできます。
DNSサーバに登録しているC&CサーバのFQDNに紐づくIPアドレスを
書き換えるだけで、リモートのマルウェア内部の情報を変更する
ことなく、接続先を変えることができます。

これが事前に埋め込まれたIPアドレスでは、攻撃者がリモートの
マルウェアの接続先を動的に変更することは難しいです。
2022.09.20 02:22

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop