17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS アウトランダーPHV レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 165/50R16 215/45R17

17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17

| by Muks Hirani, Sarah Jones, Ben Read
DNS
Iran

はじめに

ファイア・アイのMandiantインシデント・レスポンス/インテリジェンス・チームは、中東、北アフリカ 【ディクセル/DIXCEL】PDタイプ フロント用 2枚セット ブレーキディスクローター タイプPD レクサス IS-F USE20 などにお勧め 品番:3129305、欧州、北米を対象とし、政府、通信、インターネット・インフラ関連の多数の分野にを及ぼしている、一連のDNSハイジャックを確認しました。現時点で、このアクティビティとファイア・アイが追跡するグループとの関連性は判明していませんが、初期調査から、実行犯であるアクター(単体または複数)とイランとの結びつきが示唆されます。今回のキャンペーンは、ほぼ前例のない規模で世界中の組織を標的としており、高い確率で成功を収めています。ファイア・アイはこのアクティビティを数カ月間にわたり追跡することで、攻撃グループの展開した革新的なTTP(戦術、技術、手順)を図式化しました。また、組織やセキュリティ企業・団体、法執行機関とも緊密に連携し、影響を軽減し、さらなる不正アクセスを阻止できるようにしてきました(※)。

※本ブログの英語版が公開された後、米国国土安全保証省は、本攻撃からネットワークを保護する対策を講じるよう促す緊急指令を1月22日付けで米国政府機関向けに発行しました。

今回のキャンペーンでは、過去の戦術もある程度使用されていますが、大規模なDNSハイジャックを用いる点で、これまでに確認されているイランのアクティビティとは一線を画しています。攻撃グループはこの手法で最初の足がかりを作り、その後さまざまな形で不正を行っています。本ブログでは、組織への不正アクセス手段として、攻撃者が行った3種類のDNSレコードの改ざん方法について詳述します。第1の手法は、Let's Encrypt証明書の作成とAレコードの変更を伴うもので、過去CiscoのTALOSチームがブログを通じて報告しています。同ブログで解説されたアクティビティは、ファイア・アイが観測したものの一部です。

初期調査から、イランの支援が示唆される

アクティビティのアトリビューション(帰属性)分析は現在も進行中です。本ブログで解説するDNSレコードの改ざん手法は、高度で注目すべきものですが、アクティビティの時期、インフラ、サービスプロバイダーが多岐にわたることから、関わったのは単一の脅威アクターではない可能性があります。 

• 2017年1月から2019年1月までの期間を通じ、本アクティビティに関連する複数の活動が展開されています。

• 本アクティビティでは、重複しないドメインとIPからなる複数のクラスタが利用されています。

• 暗号化の証明書とVPSホストには 、さまざまなプロバイダーが使用されています。

初期調査で得た技術的な証拠から、今回のアクティビティがイラン在住の人物によって実行されたものであり、イラン政府の利益に合致しているという点について、ファイア・アイはある程度の確信を持っています。

• FireEye の脅威インテリジェンスにより 【代引き不可】【クラッツィオ Clazzio】ハリアー ZSU60W / ZSU65W / ASU60W / ASU65W などにお勧め ダブルカラータイプ / 基本デザイン選択 カスタムオーダーシートカバー 1台分 品番:ET-1151、ネットワーク・トラフィックの傍受や記録、転送に使用された端末に対する、イランのIPアドレスからのアクセスを確認しました。IPアドレスの位置情報は証拠としては弱いものの、このIPアドレスは、過去にイランのサイバー・エスピオナージ・アクター(サイバー諜報活動グループ) による侵入への対応で、すでに確認していたものです。

• 攻撃グループの標的には中東の政府が含まれており、その機密情報は、金銭的価値は比較的低いものの、イラン政府にとっては有益であると考えられます。

詳細情報

以下の例では、者のドメインをvictim[.]comとして表記し、アクターを制御するIPアドレスにプライベートIPアドレスを用いて表記しています。

手法その1 – DNS Aレコード

攻撃グループが悪用する1つ目の方法は、DNS Aレコードを変更するものです(図1)。


図1:DNS Aレコード

1. 攻撃グループは、図1のプロキシPXY1にログインします。これは、アクセス元を隠したブラウジングを実行し、他のインフラへの踏み台として使用されます。

2. 次に以前に不正入手した認証情報を悪用し、DNSプロバイダーの管理パネルにログインします。

3. この段階では、Aレコード(例:mail[.]victim[.]com)は192.168.100.100を示しています。

4. 攻撃グループはAレコードを変更し、これを10.20.30.40(OP1)に書き換えます。

5. PXY1からOP1にログインします。

  • プロキシはすべてのオープンポートの情報を取得し、mail[.]victim[.]comをミラーリングするよう実装されています。
  • ユーザートラフィックを通過させるため、ロードバランサーは、192.168.100.100 [mail[.]victim[.]com]にトラフィックを転送します。

6. certbotを使用し、mail[.]victim[.]com用にLet’s Encryptの証明書を作成します。

  • ファイア・アイは、今回のキャンペーンで悪用されている、複数のDCV(ドメイン名利用権確認)プロバイダーを確認しています。

7. この段階でmail[.]victim[.]comへのアクセスはOP1に転送されます。Let's Encrypt Authority X3の信頼性により、Let’s Encryptの証明書をもって、ブラウザはエラーなしに接続を確立できます。この接続は、正規のmail[.]victim[.]comとの接続が確立されているロードバランサーに転送されます。ユーザーは若干の遅延を感じる程度で、変更には気づきません。

8. ユーザー名、パスワード、ドメインの認証情報が窃取され、保存されます。

手法その2 – DNS NSレコード

攻撃グループが悪用する2つ目の方法は、DNS NSレコードの変更に関するものです(図2)。


図2:DNS NSレコード

1. 攻撃グループはここでもPXY1にログインします。

2. しかし今回は、以前に不正入手したレジスタやccTLDを悪用します。

3. この段階では、ネームサーバ・ーレコードのns1[.]victim[.]comは、192.168.100.200を示しています。攻撃グループはNSレコードを変更し、これをns1[.]baddomain[.]com [10.1.2.3]に書き換えます。mail[.]victim[.]comの名前解決がリクエストされた場合、ネームサーバーはIPの10.20.30.40(OP1)を返しますが、www[.]victim[.]comの場合、

17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17
18インチ サマータイヤ セット【適応車種:ウィッシュ(20系 X・Gグレード)】HOT STUFF Gスピード P02 メタリックブラックポリッシュ 7.5Jx18ディレッツァ Z3 225/40R18!アドミレイション アルタモーダ シートカバー ラムース×SSPU GSWT351B ロゴ無 トヨタ ポルテ NNP10系 前期 (150r・150i・130i) 2004年07月~2007年06月.M.I.C RF3 ステップワゴン 前期 ダイヤキルトレザーピラー 2P グリーン 塗装済み,Clazzio クラッツィオ シートカバー ECT ホンダ エリシオン EHC0442

17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17

、正規IPの192.168.100.100を返します。

4. PXY1からOP1にログインします。

  • プロキシは、すべてのオープンポートの情報を取得し、mail[.]victim[.]comをミラーリングするよう実装されています。
  • ユーザートラフィックを通過させるため、ロードバランサーは、192.168.100.100 [mail[.]victim[.]com]にトラフィックを転送します。

5. certbotを使用し、mail[.]victim[.]com用にLet’s Encryptの証明書を作成します。

  • ファイア・アイは、今回のキャンペーンで悪用されている、複数のDCV(ドメイン名利用権確認)プロバイダーを確認しています。

6. mail[.]victim[.]comへのアクセスはOP1に転送されます。Let's Encrypt Authority X3の信頼性により、Let’s Encryptの証明書をもってブラウザはエラーなしに接続を確立できます。この接続は、正規のmail[.]victim[.]comとの接続が確立されているロードバランサーに転送されます。ます。ユーザは若干の遅延を感じる程度で、変更には気づきません。

7. ユーザー名、パスワード、ドメインの認証情報が窃取され、保存されます。

手法その3 – DNSリダイレクター

上図1・2のいずれかと併せて、攻撃グループが3つ目の手法を使用するケースも確認されています。これは、DNSリダイレクターに関するものです(図3)。


図3:DNSの運用の仕組み

DNSリダイレクターとは、DNSリクエストに応答するための攻撃グループの運用の仕組みです。

1. mail[.]victim[.]comに対するDNSリクエストが、(以前に変更されたAレコードまたはNSレコードに基づき)OP2に送られます。

2. ドメインがvictim[.]comのゾーンの一部の場合、OP2は攻撃グループの制御するIPアドレスを返し、ユーザーは攻撃グループの制御するインフラに転送されます。

3. ドメインがvictim.comのゾーンの一部ではない場合(例:google[.]com) 60系 ハリアーG's(NA)用PFSループサウンドマフラー【チタン120×80オーバル】 無限MUGEN (ムゲン) スタイリングセット (カラード仕上げ) ODYSSEY (Absolute (FF/4WD) ) 用、OP2は正規のDNSにDNSリクエストを行い、得られた正規のIPアドレスをユーザーに返します。

標的について

このようなDNSレコードの不正操作や不正なSSL証明書によって、多くの企業・団体がを受けています。具体的には、通信会社やISPプロバイダー、インターネット・インフラプロバイダー、政府、機密性の高い商業機関が標的となっています。

根本的原因は現在も調査中

それぞれのレコード変更について、単一の侵入ベクトルを特定するのは困難であり、単体または複数のアクターが、上述した標的のそれぞれに対して最初の足がかりを得るため、複数の手法を用いていると想定されます。FireEye の脅威インテリジェンスをご利用のお客様に以前お送りしたレポートでは、あるアクターによる高度なフィッシング攻撃について説明していますが、そのケースでもDNSレコードの不正操作が行われています。さらに Eibach スプリング Pro-Kit 7518-140 ルノー トゥインゴ 06C3F,06D7F 1995年9月~2003年7月、DNSレコードの変更の正確なメカニズムは不明ですが、少なくともいくつかのレコードは、組織のドメイン登録アカウントへの不正アクセスによって変更されたと考えられます。

予防策

攻撃グループが企業ネットワークへの直接的なアクセスを取得できない場合でも、脆弱な情報は盗まれる可能性があるため、この種の攻撃の防御は困難です。そのため企業・組織の防御を強化するいくつかの方法をご紹介します。

1. ドメインの管理ポータルに多要素認証を導入する

2. AレコードとNSレコードの変更を確認する

3. 自社のドメインに関連するSSL証明書を検索し、悪意ある証明書が見つかった場合、これを無効化する

4. OWA/ExchangeログでソースIPを確認する

5. 社内調査を実施して、攻撃グループが自社の環境へのアクセス権を取得していないか評価する

結論

今回のDNSハイジャックと侵入の規模から、イランを拠点とするアクターの戦術が進化し続けていることが分かります。本ブログは、複数の企業・組織にを及ぼす、TTPの1つの概要を解説したものです。標的となりうる企業・組織に適切な防御策を講じていただけるよう、ファイア・アイでは今回この現状を取り上げました。

お知らせ

最近の記事

シェア

購読

RSS

ページをシェア

マットガンメタマシニングカット 3ナンバー)】WEDS 6.5Jx17ADVAN レオニス 06 セット【適応車種:ヴォクシー サマータイヤ 215/45R17 ハイブリッド(80系 ネオバAD08R 3ナンバー)】WEDS ネオバAD08R NAVIA 17インチ

最新の脅威情報や攻撃者動向、

17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17

、ソリューション解説についての情報をお届けします。

RSS フィード: ステイコネクト