17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS アウトランダーPHV レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 165/50R16 215/45R17

17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17

| by Muks Hirani, Sarah Jones, Ben Read
DNS
Iran

はじめに

ファイア・アイのMandiantインシデント・レスポンス/インテリジェンス・チームは、中東、北アフリカ 165/65R15 81S Goodyear グッドイヤー GT-Eco Stage ジーティー エコステージ VELVA KEVIN ヴェルヴァ ケヴィン サマータイヤホイール4本セット、欧州、北米を対象とし、政府、通信、インターネット・インフラ関連の多数の分野にを及ぼしている、一連のDNSハイジャックを確認しました。現時点で、このアクティビティとファイア・アイが追跡するグループとの関連性は判明していませんが、初期調査から、実行犯であるアクター(単体または複数)とイランとの結びつきが示唆されます。今回のキャンペーンは、ほぼ前例のない規模で世界中の組織を標的としており、高い確率で成功を収めています。ファイア・アイはこのアクティビティを数カ月間にわたり追跡することで、攻撃グループの展開した革新的なTTP(戦術、技術、手順)を図式化しました。また、組織やセキュリティ企業・団体、法執行機関とも緊密に連携し、影響を軽減し、さらなる不正アクセスを阻止できるようにしてきました(※)。

※本ブログの英語版が公開された後、米国国土安全保証省は、本攻撃からネットワークを保護する対策を講じるよう促す緊急指令を1月22日付けで米国政府機関向けに発行しました。

今回のキャンペーンでは、過去の戦術もある程度使用されていますが、大規模なDNSハイジャックを用いる点で、これまでに確認されているイランのアクティビティとは一線を画しています。攻撃グループはこの手法で最初の足がかりを作り、その後さまざまな形で不正を行っています。本ブログでは、組織への不正アクセス手段として、攻撃者が行った3種類のDNSレコードの改ざん方法について詳述します。第1の手法は、Let's Encrypt証明書の作成とAレコードの変更を伴うもので、過去CiscoのTALOSチームがブログを通じて報告しています。同ブログで解説されたアクティビティは、ファイア・アイが観測したものの一部です。

初期調査から、イランの支援が示唆される

アクティビティのアトリビューション(帰属性)分析は現在も進行中です。本ブログで解説するDNSレコードの改ざん手法は、高度で注目すべきものですが、アクティビティの時期、インフラ、サービスプロバイダーが多岐にわたることから、関わったのは単一の脅威アクターではない可能性があります。 

• 2017年1月から2019年1月までの期間を通じ、本アクティビティに関連する複数の活動が展開されています。

• 本アクティビティでは、重複しないドメインとIPからなる複数のクラスタが利用されています。

• 暗号化の証明書とVPSホストには 、さまざまなプロバイダーが使用されています。

初期調査で得た技術的な証拠から、今回のアクティビティがイラン在住の人物によって実行されたものであり、イラン政府の利益に合致しているという点について、ファイア・アイはある程度の確信を持っています。

• FireEye の脅威インテリジェンスにより 【送料無料】 215/60R17 17インチ BRANDLE ブランドル G72B 7J 7.00-17 DUNLOP ダンロップ エナセーブ RV504 SALE サマータイヤ ホイール4本セット【DUsum18】、ネットワーク・トラフィックの傍受や記録、転送に使用された端末に対する、イランのIPアドレスからのアクセスを確認しました。IPアドレスの位置情報は証拠としては弱いものの、このIPアドレスは、過去にイランのサイバー・エスピオナージ・アクター(サイバー諜報活動グループ) による侵入への対応で、すでに確認していたものです。

• 攻撃グループの標的には中東の政府が含まれており、その機密情報は、金銭的価値は比較的低いものの、イラン政府にとっては有益であると考えられます。

詳細情報

以下の例では、者のドメインをvictim[.]comとして表記し、アクターを制御するIPアドレスにプライベートIPアドレスを用いて表記しています。

手法その1 – DNS Aレコード

攻撃グループが悪用する1つ目の方法は、DNS Aレコードを変更するものです(図1)。


図1:DNS Aレコード

1. 攻撃グループは、図1のプロキシPXY1にログインします。これは、アクセス元を隠したブラウジングを実行し、他のインフラへの踏み台として使用されます。

2. 次に以前に不正入手した認証情報を悪用し、DNSプロバイダーの管理パネルにログインします。

3. この段階では、Aレコード(例:mail[.]victim[.]com)は192.168.100.100を示しています。

4. 攻撃グループはAレコードを変更し、これを10.20.30.40(OP1)に書き換えます。

5. PXY1からOP1にログインします。

  • プロキシはすべてのオープンポートの情報を取得し、mail[.]victim[.]comをミラーリングするよう実装されています。
  • ユーザートラフィックを通過させるため、ロードバランサーは、192.168.100.100 [mail[.]victim[.]com]にトラフィックを転送します。

6. certbotを使用し、mail[.]victim[.]com用にLet’s Encryptの証明書を作成します。

  • ファイア・アイは、今回のキャンペーンで悪用されている、複数のDCV(ドメイン名利用権確認)プロバイダーを確認しています。

7. この段階でmail[.]victim[.]comへのアクセスはOP1に転送されます。Let's Encrypt Authority X3の信頼性により、Let’s Encryptの証明書をもって、ブラウザはエラーなしに接続を確立できます。この接続は、正規のmail[.]victim[.]comとの接続が確立されているロードバランサーに転送されます。ユーザーは若干の遅延を感じる程度で、変更には気づきません。

8. ユーザー名、パスワード、ドメインの認証情報が窃取され、保存されます。

手法その2 – DNS NSレコード

攻撃グループが悪用する2つ目の方法は、DNS NSレコードの変更に関するものです(図2)。


図2:DNS NSレコード

1. 攻撃グループはここでもPXY1にログインします。

2. しかし今回は、以前に不正入手したレジスタやccTLDを悪用します。

3. この段階では、ネームサーバ・ーレコードのns1[.]victim[.]comは、192.168.100.200を示しています。攻撃グループはNSレコードを変更し、これをns1[.]baddomain[.]com [10.1.2.3]に書き換えます。mail[.]victim[.]comの名前解決がリクエストされた場合、ネームサーバーはIPの10.20.30.40(OP1)を返しますが、www[.]victim[.]comの場合、

17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17【最高の品質を持つ!】


ビルシュタイン B4 1台分 ショック ボーラ 2.0・V5-2.3【VNE-4575×2+BNE-2917×2】BILSTEIN ショックアブソーバー サスペンションキット【店頭受取対応商品】


17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17 送料無料 ダンロップ SPスポーツマックス SP SPORT MAXX 050+ for SUV 285/45R19 285/45-19 W XL 4本 激安SALE BMW X5 X6 F15 ベンツ ML

↓↓↓TEIN ショック ≪EnduraPro≫ 1台分4本セット 【 エクストレイル [T32] 2013.12+ FF 2000 [20S, 20X] 】;【割引クーポン配布中】KARO/カロ KRONE/クローネ カルタスクレセントワゴン/GC#1、GD31 商品番号:733;【関西、関東限定】取付サービス品BR レガシィ ツーリングワゴン サイドステップ【ダムド】LEGACY TOURING WAGON BR9 サイドスカートエクステンション FRP, 無限CR-Z(ZF1/2)リアウィング, 送料無料 245/35R20 275/30R20インチ FR設定 サマータイヤ ホイール 4本セット WINRUN ウィンラン R330 ラグジーヘインズ LH005 8.5/9.5J 5H114, HID H11 35W オールインワンセット hidキット 6000k 8000k 12000k hidヘッドライト 最新 薄型 バラスト デジタルコントロール搭載 最高品質 クリスタルガラス 石英ガラス 完全防水 省電力 長寿命 【GLITTGE】ステップワゴン マイナー後 RK系 SPADA含む フォグランプ, 送料無料 ランドクルーザー プラド GRJ15#/TRJ150 TX(H25/9~H29/8)フォグランプ対応 H16 LED コンバージョンキット 20W 6000K 2500lm 光軸調整済み 純正準拠 ホワイト ランプ ライト gracias 汎用 左右セット【即日発送】;アドミレイション アルタモーダ シートカバー ラムース×SSPU GSWH021A ロゴ無 ホンダ エアウェイブ GJ1,2 全車(G.Gスカイ.L.Lスカイ) 2005年04月~ 【送料無料】 205/60R16 16インチ TOPY トピー ディルーチェ DX10 6.5J 6.50-16 DUNLOP ダンロップ エナセーブ EC204 サマータイヤ ホイール4本セット↓↓↓【関西、関東限定】取付サービス品30 アルファード アイライン【アクティブモータリングスタイル】アルファード S/SA/SR 30系 アイラインガーニッシュ 未塗装, FZR400RR・ステンメッシュブレーキホース青・前[YMF244], 【送料無料】 245/40R19 19インチ AMISTAD アミスタット マドゥーラ F010 8J 8.00-19 ROADCLAW ロードクロウ RH660(限定) サマータイヤ ホイール4本セット, 【USA在庫あり】 レンサル RENTHAL リア スプロケット ツインリング 49T/520 83年以降 ホンダ、ヤマハ アルミ シルバー 1210-0237 JP店, ディクセル ECタイプ フロント左右セット ブレーキパッド マークII/クレスタ/チェイサー JZX100 311252 取付セット DIXCEL エクストラクルーズ ブレーキパット【店頭受取対応商品】

HANKOOK ハンコック Dynapro ダイナプロ HP2 RA33 サマータイヤ 235/65R18 WEDS WedsSport ウェッズ スポーツ SA-54R ホイールセット 4本 18インチ 18 X 7.5 +45 5穴 114.3

↓↓↓↓↓↓


↓↓↓↓↓↓↓↓↓↓↓↓

18インチ サマータイヤ セット【スカイライン(V35系)】MID RMP 028F ハイパーメタルコート/ミラーカット 8.0Jx18ヨコハマ エコス ES31 225/45R18, 「複数種類あり」 エンジン の ハーネス ■ 『図の略番 24020A のみ』 スバル純正部品 レガシィ 適合年式[平成15年01月~21年04月]『品番』 24020AD451 ^j33^, 【★送料無料】 20 ヴェルファイア リアバンパー【アーティシャンスピリッツ】ヴェルファイア GGH/ANH 20/25W 後期 HIGH-SPEC LINE VERSE リアバンパースポイラー マフラー デュアル片側出し, 245/40R17 NITTO ニットー INVO インヴォ B-win KRX B-win KRX サマータイヤホイール4本セット, SHINKE パッソ GNC10/15 車種別専用ラブベッド コットンタイプ ダークグレー

RS-R 車高調 Super-i ソフトバネレート [スカイライン V36 FR車] RS★R・RS☆R・RSR 全長式車高調 代引き手数料無料&送料無料;【★送料無料】 【ファイナルコネクション】ファイナルコネクション ブレーキキャリパーキット STEALTH NEW TYPE CALIPER KIT F:6POT 286×18 MAZDA キャロル HB12S/HB22S/HB23S/HB24S(2WD/4WD) 【 型式:HB23S オプション:011 ORANGE YELLOW+クリアコーティ 195/60R16 89H TOYO TIRES トーヨー タイヤ PROXES CF2 プロクセス CF2 EUROSPEED BL10 ユーロスピード BL10 サマータイヤホイール4本セット 【送料無料 VW(ゴルフ)】 225/35R19 19インチ WEDS クレンツェ エルアボラ 8J 8.00-19 FALKEN ジークス ZE912 サマータイヤ ホイール4本セット 輸入車;HONDA ホンダ VEZEL ヴェゼル ホンダ純正 エアロバンパー ( フロント用 ) ガンメタリック塗装 [2016.3~次モデル][ルナシルバーM 08P98-T7A-0E0B ]

ピレリ ICE ASIMMETRICO plus アイスアシンメトリコプラス 2018年 スタッドレス スタッドレスタイヤ 175/65R15 ENKEI PerformanceLine PFM1 4本 ホイールセット 15インチ 15 X 5.5 +45 4穴 100;HKS ハイパワー スペックL マフラー インプレッサ CBA- GRF 31019-AF027 取付セット Hi-Power SPEC-L スポーツマフラー【店頭受取対応商品】

、正規IPの192.168.100.100を返します。

4. PXY1からOP1にログインします。

  • プロキシは、すべてのオープンポートの情報を取得し、mail[.]victim[.]comをミラーリングするよう実装されています。
  • ユーザートラフィックを通過させるため、ロードバランサーは、192.168.100.100 [mail[.]victim[.]com]にトラフィックを転送します。

5. certbotを使用し、mail[.]victim[.]com用にLet’s Encryptの証明書を作成します。

  • ファイア・アイは、今回のキャンペーンで悪用されている、複数のDCV(ドメイン名利用権確認)プロバイダーを確認しています。

6. mail[.]victim[.]comへのアクセスはOP1に転送されます。Let's Encrypt Authority X3の信頼性により、Let’s Encryptの証明書をもってブラウザはエラーなしに接続を確立できます。この接続は、正規のmail[.]victim[.]comとの接続が確立されているロードバランサーに転送されます。ます。ユーザは若干の遅延を感じる程度で、変更には気づきません。

7. ユーザー名、パスワード、ドメインの認証情報が窃取され、保存されます。

手法その3 – DNSリダイレクター

上図1・2のいずれかと併せて、攻撃グループが3つ目の手法を使用するケースも確認されています。これは、DNSリダイレクターに関するものです(図3)。


図3:DNSの運用の仕組み

DNSリダイレクターとは、DNSリクエストに応答するための攻撃グループの運用の仕組みです。

1. mail[.]victim[.]comに対するDNSリクエストが、(以前に変更されたAレコードまたはNSレコードに基づき)OP2に送られます。

2. ドメインがvictim[.]comのゾーンの一部の場合、OP2は攻撃グループの制御するIPアドレスを返し、ユーザーは攻撃グループの制御するインフラに転送されます。

3. ドメインがvictim.comのゾーンの一部ではない場合(例:google[.]com) 【関西、関東限定】取付サービス品L175 ムーヴ フロントハーフ【バタフライシステム】MOVE CUSTOM L175後期 GLANZ フロントハーフスポイラー サスペンションキット / (車高調整 無)【プロスタッフ】ジムニー サスペンション ZEAL3インチアップリーフ JA11用、OP2は正規のDNSにDNSリクエストを行い、得られた正規のIPアドレスをユーザーに返します。

標的について

このようなDNSレコードの不正操作や不正なSSL証明書によって、多くの企業・団体がを受けています。具体的には、通信会社やISPプロバイダー、インターネット・インフラプロバイダー、政府、機密性の高い商業機関が標的となっています。

根本的原因は現在も調査中

それぞれのレコード変更について、単一の侵入ベクトルを特定するのは困難であり、単体または複数のアクターが、上述した標的のそれぞれに対して最初の足がかりを得るため、複数の手法を用いていると想定されます。FireEye の脅威インテリジェンスをご利用のお客様に以前お送りしたレポートでは、あるアクターによる高度なフィッシング攻撃について説明していますが、そのケースでもDNSレコードの不正操作が行われています。さらに 【送料無料】 165/65R15 15インチ WEDS ウェッズ レオニス NAVIA 02 4.5J 4.50-15 YOKOHAMA ヨコハマ ブルーアース AE-01 SALE サマータイヤ ホイール4本セット、DNSレコードの変更の正確なメカニズムは不明ですが、少なくともいくつかのレコードは、組織のドメイン登録アカウントへの不正アクセスによって変更されたと考えられます。

予防策

攻撃グループが企業ネットワークへの直接的なアクセスを取得できない場合でも、脆弱な情報は盗まれる可能性があるため、この種の攻撃の防御は困難です。そのため企業・組織の防御を強化するいくつかの方法をご紹介します。

1. ドメインの管理ポータルに多要素認証を導入する

2. AレコードとNSレコードの変更を確認する

3. 自社のドメインに関連するSSL証明書を検索し、悪意ある証明書が見つかった場合、これを無効化する

4. OWA/ExchangeログでソースIPを確認する

5. 社内調査を実施して、攻撃グループが自社の環境へのアクセス権を取得していないか評価する

結論

今回のDNSハイジャックと侵入の規模から、イランを拠点とするアクターの戦術が進化し続けていることが分かります。本ブログは、複数の企業・組織にを及ぼす、TTPの1つの概要を解説したものです。標的となりうる企業・組織に適切な防御策を講じていただけるよう、ファイア・アイでは今回この現状を取り上げました。

お知らせ

最近の記事

シェア

購読

RSS

ページをシェア

マットガンメタマシニングカット 3ナンバー)】WEDS 6.5Jx17ADVAN レオニス 06 セット【適応車種:ヴォクシー サマータイヤ 215/45R17 ハイブリッド(80系 ネオバAD08R 3ナンバー)】WEDS ネオバAD08R NAVIA 17インチ

最新の脅威情報や攻撃者動向、

17インチ サマータイヤ セット【適応車種:ヴォクシー ハイブリッド(80系 3ナンバー)】WEDS レオニス NAVIA 06 マットガンメタマシニングカット 6.5Jx17ADVAN ネオバAD08R 215/45R17

、ソリューション解説についての情報をお届けします。

RSS フィード: ステイコネクト