Index

DNSの脆弱性: TXTレコード内の悪意のあるコンテンツ

Risk: medium

説明

DNS（ドメインネームシステム）は、TXTレコードを使用してデータを持ち出したり、悪意のあるコマンドを実行したりする攻撃者によって悪用される可能性があります。攻撃者はTXTレコードを利用して、正当に見えるDNS応答内にエンコードされたペイロードまたはコマンドを隠し、データの持ち出し、コマンドアンドコントロール（C2）通信、またはマルウェアの実行を可能にします。

主なセキュリティ上の影響:

• データの持ち出し: 攻撃者は盗んだデータをTXTレコードに隠すことで、従来のセキュリティコントロールをバイパスできます。
• マルウェア通信: TXTレコードを使用してマルウェアにコマンドを中継し、リモートでの実行やその他の悪意のあるアクティビティを引き起こすことができます。
• C2チャネル: 悪意のあるアクターはDNSを使用してコマンドアンドコントロール（C2）チャネルをセットアップし、TXTレコードを介して通信を密かに実行できます。

シナリオ例:

攻撃者はDNSサーバーをセットアップし、ドメインを登録します。攻撃者はエンコードされたペイロードを含めるようにTXTレコードを構成します。マルウェアがDNSサーバーにクエリを送信すると、TXTレコード内に隠されたペイロードを取得して実行し、データの持ち出しまたはリモート実行を成功させます。

この脆弱性は、DNSトラフィックを適切に監視または制限していない組織にとって重大なリスクとなります。

推奨事項

DNS TXTレコード内の悪意のあるコンテンツに関連するリスクに対処するには、次の対策を実装することを検討してください。

1. DNSクエリのロギングと監視の強制: すべてのDNSクエリと応答、特にTXTレコードを含むものがログに記録されていることを確認します。悪意のあるアクティビティを示す可能性のある異常なクエリパターンなどの異常を検出するための継続的な監視を設定します。
2. DNSセキュリティソリューションの導入: DNSファイアウォールまたはその他のセキュリティソリューションを利用して、悪意のあるDNSトラフィックをフィルタリングします。これらのツールは、疑わしいDNSリクエストをブロックし、悪意のあるドメインとの通信を防ぐのに役立ちます。
3. 外部DNSトラフィックの制限: 厳格なDNSポリシーを適用し、外部DNSクエリを必要なドメインのみに制限します。可能な場合はDNSフィルタリングを実装します。
4. DNSクエリのログ記録と分析: セキュリティ侵害が発生した場合のフォレンジック分析のために、DNSクエリと応答が確実にログに記録されるようにします。
5. DNSクエリのレート制限の実装: DNSトンネリングとデータの持ち出しのリスクを軽減するために、DNSクエリのレート制限を適用します。DNSリクエストのしきい値を設定することで、悪意のあるアクターによる悪用を検出して防止できます。

リンク

• Splunk Deep Learning Blog
• AhnLab Security Blog
• ProSec Networks

標準

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_7
  • CC_6_8
  • CC_7_1
  • CC_7_2
  • CC_7_3
  • CC_8_1
  • CC_9_1
  • CC_9_2
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
  • ART_33
  • ART_34
  • ART_35
• CWE_TOP_25:
  • CWE_20
  • CWE_287
  • CWE_918
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213
  • SECURITY255