ズーム ダウンフォースサス 1台分 プリメーラワゴン WHP11 夏用タイヤ SR20DE H9/9~ サマータイヤ サスペンション

ズーム ダウンフォースサス 1台分 プリメーラワゴン WHP11 SR20DE H9/9~ サスペンション

| by Muks Hirani, Sarah Jones, Ben Read
DNS
Iran

はじめに

ファイア・アイのMandiantインシデント・レスポンス/インテリジェンス・チームは、中東、北アフリカ アウディ Q7 4L系用 スタッドレス グッドイヤー アイスナビ SUV 255/55R18 109Q XL BBS SR タイヤホイール4本セット、欧州、北米を対象とし、政府、通信、インターネット・インフラ関連の多数の分野にを及ぼしている、一連のDNSハイジャックを確認しました。現時点で、このアクティビティとファイア・アイが追跡するグループとの関連性は判明していませんが、初期調査から、実行犯であるアクター(単体または複数)とイランとの結びつきが示唆されます。今回のキャンペーンは、ほぼ前例のない規模で世界中の組織を標的としており、高い確率で成功を収めています。ファイア・アイはこのアクティビティを数カ月間にわたり追跡することで、攻撃グループの展開した革新的なTTP(戦術、技術、手順)を図式化しました。また、組織やセキュリティ企業・団体、法執行機関とも緊密に連携し、影響を軽減し、さらなる不正アクセスを阻止できるようにしてきました(※)。

※本ブログの英語版が公開された後、米国国土安全保証省は、本攻撃からネットワークを保護する対策を講じるよう促す緊急指令を1月22日付けで米国政府機関向けに発行しました。

今回のキャンペーンでは、過去の戦術もある程度使用されていますが、大規模なDNSハイジャックを用いる点で、これまでに確認されているイランのアクティビティとは一線を画しています。攻撃グループはこの手法で最初の足がかりを作り、その後さまざまな形で不正を行っています。本ブログでは、組織への不正アクセス手段として、攻撃者が行った3種類のDNSレコードの改ざん方法について詳述します。第1の手法は、Let's Encrypt証明書の作成とAレコードの変更を伴うもので、過去CiscoのTALOSチームがブログを通じて報告しています。同ブログで解説されたアクティビティは、ファイア・アイが観測したものの一部です。

初期調査から、イランの支援が示唆される

アクティビティのアトリビューション(帰属性)分析は現在も進行中です。本ブログで解説するDNSレコードの改ざん手法は、高度で注目すべきものですが、アクティビティの時期、インフラ、サービスプロバイダーが多岐にわたることから、関わったのは単一の脅威アクターではない可能性があります。 

• 2017年1月から2019年1月までの期間を通じ、本アクティビティに関連する複数の活動が展開されています。

• 本アクティビティでは、重複しないドメインとIPからなる複数のクラスタが利用されています。

• 暗号化の証明書とVPSホストには 、さまざまなプロバイダーが使用されています。

初期調査で得た技術的な証拠から、今回のアクティビティがイラン在住の人物によって実行されたものであり、イラン政府の利益に合致しているという点について、ファイア・アイはある程度の確信を持っています。

• FireEye の脅威インテリジェンスにより 15インチ サマータイヤ セット【フィット(GK系 14インチ装着車)】MANARAY ユーロストリーム BV25 ブロンザイトレイヤード 5.5Jx15トランパス mpZ 185/60R15、ネットワーク・トラフィックの傍受や記録、転送に使用された端末に対する、イランのIPアドレスからのアクセスを確認しました。IPアドレスの位置情報は証拠としては弱いものの、このIPアドレスは、過去にイランのサイバー・エスピオナージ・アクター(サイバー諜報活動グループ) による侵入への対応で、すでに確認していたものです。

• 攻撃グループの標的には中東の政府が含まれており、その機密情報は、金銭的価値は比較的低いものの、イラン政府にとっては有益であると考えられます。

詳細情報

以下の例では、者のドメインをvictim[.]comとして表記し、アクターを制御するIPアドレスにプライベートIPアドレスを用いて表記しています。

手法その1 – DNS Aレコード

攻撃グループが悪用する1つ目の方法は、DNS Aレコードを変更するものです(図1)。


図1:DNS Aレコード

1. 攻撃グループは、図1のプロキシPXY1にログインします。これは、アクセス元を隠したブラウジングを実行し、他のインフラへの踏み台として使用されます。

2. 次に以前に不正入手した認証情報を悪用し、DNSプロバイダーの管理パネルにログインします。

3. この段階では、Aレコード(例:mail[.]victim[.]com)は192.168.100.100を示しています。

4. 攻撃グループはAレコードを変更し、これを10.20.30.40(OP1)に書き換えます。

5. PXY1からOP1にログインします。

  • プロキシはすべてのオープンポートの情報を取得し、mail[.]victim[.]comをミラーリングするよう実装されています。
  • ユーザートラフィックを通過させるため、ロードバランサーは、192.168.100.100 [mail[.]victim[.]com]にトラフィックを転送します。

6. certbotを使用し、mail[.]victim[.]com用にLet’s Encryptの証明書を作成します。

  • ファイア・アイは、今回のキャンペーンで悪用されている、複数のDCV(ドメイン名利用権確認)プロバイダーを確認しています。

7. この段階でmail[.]victim[.]comへのアクセスはOP1に転送されます。Let's Encrypt Authority X3の信頼性により、Let’s Encryptの証明書をもって、ブラウザはエラーなしに接続を確立できます。この接続は、正規のmail[.]victim[.]comとの接続が確立されているロードバランサーに転送されます。ユーザーは若干の遅延を感じる程度で、変更には気づきません。

8. ユーザー名、パスワード、ドメインの認証情報が窃取され、保存されます。

手法その2 – DNS NSレコード

攻撃グループが悪用する2つ目の方法は、DNS NSレコードの変更に関するものです(図2)。


図2:DNS NSレコード

1. 攻撃グループはここでもPXY1にログインします。

2. しかし今回は、以前に不正入手したレジスタやccTLDを悪用します。

3. この段階では、ネームサーバ・ーレコードのns1[.]victim[.]comは、192.168.100.200を示しています。攻撃グループはNSレコードを変更し、これをns1[.]baddomain[.]com [10.1.2.3]に書き換えます。mail[.]victim[.]comの名前解決がリクエストされた場合、ネームサーバーはIPの10.20.30.40(OP1)を返しますが、www[.]victim[.]comの場合、

ズーム ダウンフォースサス 1台分 プリメーラワゴン WHP11 SR20DE H9/9~ サスペンション,[#tong##]

0● 低価格でダウン量、乗り心地等、コストパフォーマンスを徹底追求。● 車検対応(※平成18年1月以降に生産された車両は、ローダウン時にフォグランプ下縁高さが 250mm未満となった場合、保安基準に抵触します)● バネレートは純正の10~20%UP以内。乗り心地重視。● ヘタリはほとんどありません。3年間保証(メーカー基準に準じます)● 引張強度200kgf/mmの新素材採用。● ダウン量保証(メーカー基準に準じます)● 環境にやさしい塗料採用。☆適合車種・必ずご確認下さい☆●メーカー名:ニッサン●車種:プリメーラワゴン●型式:WHP11●エンジン型式:SR20DE●年式:H9/9~●備考1:●ダウン幅 F(mm):35~40 ダウン幅 R(mm):30~35●メーカー品番:送料700円(離島:2500円 沖縄:3000円かかります。)代引手数料600円発送までの   目安●商品手配後、(銀行振込は入金確認後)からメーカーに在庫がある場合は3~5営業日で発送となります。 まれに欠品・受注生産で納期に時間を要する場合がありますのでお急ぎの方は誠に恐れ入りますが、納期をお問い合わせ下さい。発送詳細●発送は宅急便での発送となり、送料は「お支払い・送料」に 記載の通りとなります。 ●発送業者のご指定は出来ません事を予めご了承下さい。支払方法●支払い方法につきましては、ショッピングガイドを御参照下さい。注意事項●商品手配後(入金後)のキャンセル・商品変更・数量変更は出来ませんので、ご了承下さい。 お急ぎの方は必ず在庫確認をして頂き、弊社より回答をさせて頂いた上でご注文下さい。 在庫確認の質問を行わなかった場合の納期対応は可能な限り対応させて頂きますが、その時の在庫状況による事をご了承下さい。 ●商品についてはお客様の責任でお選び下さい。画像について●商品掲載画像はイメージ画像になります。 お届けする商品は車両の仕様等によってを異なる場合がございますので 予めご了承下さい。

、正規IPの192.168.100.100を返します。

4. PXY1からOP1にログインします。

  • プロキシは、すべてのオープンポートの情報を取得し、mail[.]victim[.]comをミラーリングするよう実装されています。
  • ユーザートラフィックを通過させるため、ロードバランサーは、192.168.100.100 [mail[.]victim[.]com]にトラフィックを転送します。

5. certbotを使用し、mail[.]victim[.]com用にLet’s Encryptの証明書を作成します。

  • ファイア・アイは、今回のキャンペーンで悪用されている、複数のDCV(ドメイン名利用権確認)プロバイダーを確認しています。

6. mail[.]victim[.]comへのアクセスはOP1に転送されます。Let's Encrypt Authority X3の信頼性により、Let’s Encryptの証明書をもってブラウザはエラーなしに接続を確立できます。この接続は、正規のmail[.]victim[.]comとの接続が確立されているロードバランサーに転送されます。ます。ユーザは若干の遅延を感じる程度で、変更には気づきません。

7. ユーザー名、パスワード、ドメインの認証情報が窃取され、保存されます。

手法その3 – DNSリダイレクター

上図1・2のいずれかと併せて、攻撃グループが3つ目の手法を使用するケースも確認されています。これは、DNSリダイレクターに関するものです(図3)。


図3:DNSの運用の仕組み

DNSリダイレクターとは、DNSリクエストに応答するための攻撃グループの運用の仕組みです。

1. mail[.]victim[.]comに対するDNSリクエストが、(以前に変更されたAレコードまたはNSレコードに基づき)OP2に送られます。

2. ドメインがvictim[.]comのゾーンの一部の場合、OP2は攻撃グループの制御するIPアドレスを返し、ユーザーは攻撃グループの制御するインフラに転送されます。

3. ドメインがvictim.comのゾーンの一部ではない場合(例:google[.]com) RG/レーシングギア HSダンパー HS-N21DT ニッサン スカイライン BNR32 1989年08月~1993年08月 326パワー マジバネ ID63 (62-63兼用) -H180 ミドリ 2本1セット レート:04K、OP2は正規のDNSにDNSリクエストを行い、得られた正規のIPアドレスをユーザーに返します。

標的について

このようなDNSレコードの不正操作や不正なSSL証明書によって、多くの企業・団体がを受けています。具体的には、通信会社やISPプロバイダー、インターネット・インフラプロバイダー、政府、機密性の高い商業機関が標的となっています。

根本的原因は現在も調査中

それぞれのレコード変更について、単一の侵入ベクトルを特定するのは困難であり、単体または複数のアクターが、上述した標的のそれぞれに対して最初の足がかりを得るため、複数の手法を用いていると想定されます。FireEye の脅威インテリジェンスをご利用のお客様に以前お送りしたレポートでは、あるアクターによる高度なフィッシング攻撃について説明していますが、そのケースでもDNSレコードの不正操作が行われています。さらに NGK(日本特殊陶業)/パワーケーブル [21T] STOCK NO. 8860、DNSレコードの変更の正確なメカニズムは不明ですが、少なくともいくつかのレコードは、組織のドメイン登録アカウントへの不正アクセスによって変更されたと考えられます。

予防策

攻撃グループが企業ネットワークへの直接的なアクセスを取得できない場合でも、脆弱な情報は盗まれる可能性があるため、この種の攻撃の防御は困難です。そのため企業・組織の防御を強化するいくつかの方法をご紹介します。

1. ドメインの管理ポータルに多要素認証を導入する

2. AレコードとNSレコードの変更を確認する

3. 自社のドメインに関連するSSL証明書を検索し、悪意ある証明書が見つかった場合、これを無効化する

4. OWA/ExchangeログでソースIPを確認する

5. 社内調査を実施して、攻撃グループが自社の環境へのアクセス権を取得していないか評価する

結論

今回のDNSハイジャックと侵入の規模から、イランを拠点とするアクターの戦術が進化し続けていることが分かります。本ブログは、複数の企業・組織にを及ぼす、TTPの1つの概要を解説したものです。標的となりうる企業・組織に適切な防御策を講じていただけるよう、ファイア・アイでは今回この現状を取り上げました。

お知らせ

最近の記事

シェア

購読

RSS

ページをシェア

WHP11 H9/9~ サスペンション H9/9~ SR20DE ズーム WHP11 ダウンフォースサス プリメーラワゴン 1台分

最新の脅威情報や攻撃者動向、

ズーム ダウンフォースサス 1台分 プリメーラワゴン WHP11 SR20DE H9/9~ サスペンション

、ソリューション解説についての情報をお届けします。

RSS フィード: ステイコネクト