デッドドロップ・リゾルバ|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. デッドドロップ・リゾルバ
             

デッドドロップ・リゾルバ

デッドドロップ・リゾルバ(Dead Drop Resolver)とは、サイバー攻撃の分野で、マルウェア(悪意のあるソフトウェア)や攻撃者が指令サーバー(C2サーバー、Command and Controlサーバー)と通信する際のサーバー位置情報を、隠密に取得するために使われる手法またはツールです。デッドドロップ・リゾルバは、マルウェアの制作者や攻撃者が、セキュリティソフトや追跡者からの発見を避けるために用いる技術であり、C2サーバーのアドレス情報を外部のリソースから間接的に取得する仕組みです。

デッドドロップ・リゾルバは、SNSの投稿、ブログ、コード共有サイト、クラウドストレージなどの合法的なサービスにC2サーバーのアドレスを隠すことで、マルウェアが定期的にその情報を取得し、新しい指令を受け取る際の道しるべとして利用されます。この技術により、攻撃者はC2サーバーを頻繁に変更でき、セキュリティ担当者が攻撃の経路を封じることが難しくなります。

デッドドロップ・リゾルバの仕組み

デッドドロップ・リゾルバの基本的な仕組みは、C2サーバーのアドレスを直接マルウェアに埋め込むのではなく、外部のリソースに置かれたアドレス情報に間接的にアクセスさせることで、攻撃者がC2サーバーの位置を頻繁に変更しやすくするというものです。

  1. C2サーバーのアドレス情報を外部リソースに配置
    攻撃者は、SNS投稿やブログ、クラウドストレージ、Pastebinなどの合法的なサービスに、C2サーバーのアドレス情報を隠れた形で記載します。これにより、攻撃者が直接アドレスを提供せずに、情報を秘匿することが可能です。
  2. マルウェアがリゾルバにアクセス
    マルウェアは、事前に設定された手順でこれらの外部リソースにアクセスし、隠された情報を取得します。この際、正規のサイトを経由するため、セキュリティソフトウェアが異常な通信として検知するのが難しくなります。
  3. C2サーバーとの接続
    マルウェアが取得した情報をもとにC2サーバーの場所を特定し、攻撃者の指令に従う通信を開始します。攻撃者はC2サーバーを定期的に変更し、情報を更新することで、追跡を回避します。

このプロセスにより、デッドドロップ・リゾルバはマルウェアとC2サーバー間の接続を柔軟にし、検知や追跡を困難にする役割を果たします。

デッドドロップ・リゾルバの使用例

デッドドロップ・リゾルバは、以下のような具体的な方法でC2サーバーのアドレス情報を隠匿します。

1. SNSやブログ投稿の活用

攻撃者は、TwitterやFacebook、ブログの投稿やコメント欄に、C2サーバーのアドレス情報を含むコードやリンクを埋め込みます。マルウェアはこれらのページにアクセスし、特定の文字列やハッシュからC2サーバーの位置情報を抽出します。

2. Pastebinやコード共有サイトの利用

PastebinやGitHubといったコード共有サイトに、C2サーバーのアドレス情報が隠されたテキストやスクリプトがアップロードされることがあります。マルウェアはこれらのファイルを読み込んで情報を解読し、C2サーバーのアドレスを特定します。

3. クラウドストレージの活用

GoogleドライブやDropboxなどのクラウドストレージに、C2サーバーのアドレスが記載されたファイルを配置することで、マルウェアがクラウドストレージを経由して情報を取得します。クラウド上のファイルは、外部からのアクセスが簡単であるため、攻撃者にとって便利な手段となっています。

デッドドロップ・リゾルバの利点とデメリット

利点

  1. 発見と追跡の回避
    デッドドロップ・リゾルバは、正規のWebサービスを利用するため、セキュリティシステムからの検知を回避しやすく、攻撃経路が特定されにくいです。また、C2サーバーのアドレスを頻繁に変えることが容易で、追跡が難しくなります。
  2. 迅速なアドレス変更
    攻撃者はリゾルバに保存された情報を更新するだけで、C2サーバーのアドレスを変更できるため、接続遮断されても新しいサーバーに移行しやすく、持続的な攻撃が可能です。
  3. 正規サービスの利用で不審通信を隠す
    SNSやクラウドサービスへのアクセスは通常のネットワーク通信と区別しづらいため、マルウェアの通信が異常として検知されにくくなります。

デメリット

  1. 外部サービス依存
    デッドドロップ・リゾルバはSNSやブログ、クラウドサービスといった外部サービスに依存するため、サービス側の対策や削除、アクセス制限によって機能が停止するリスクがあります。
  2. 情報のタイムラグ
    C2サーバーのアドレス変更が外部リソースに依存しているため、即時に更新情報が反映されない場合があります。この場合、マルウェアが指令を受け取れず、攻撃が途切れるリスクも存在します。

デッドドロップ・リゾルバに対する対策

1. 外部サービスの監視

セキュリティ担当者は、PastebinやSNS、クラウドサービスでの不審な投稿やファイルを監視し、悪意あるリンクやC2アドレスの共有を早期に発見・遮断することが重要です。特に、異常な通信が見られた場合、アクセス先が正規のサービスであっても、不審なアクセスを警告する設定が有効です。

2. Webフィルタリングとアクセス制御

企業や組織のネットワーク内で、特定のSNSやコード共有サービスへのアクセスを制限することも有効です。特に、従業員が業務に不要なWebサービスへのアクセスを制御することで、デッドドロップ・リゾルバを通じた通信リスクを減らせます。

3. 振る舞い検知と異常なアクセスの分析

ネットワーク内での異常なトラフィックパターンや、頻繁なアクセスが確認された場合、デッドドロップ・リゾルバが使用されている可能性があります。機械学習による振る舞い検知を活用し、異常なアクセスを特定して対応することで、マルウェアの活動を早期に阻止できます。

4. サービス提供者と連携した対策

SNSやクラウドサービスの提供者と連携し、不審なリンクや投稿の削除、報告体制の強化を行うことも効果的です。多くのサービス提供者は、不正な使用が疑われる場合に対応するポリシーやガイドラインを整備しているため、協力することでリゾルバの利用を難しくします。

まとめ

デッドドロップ・リゾルバは、マルウェアがC2サーバーのアドレスを隠密に取得するための手法で、SNSやクラウドサービス、コード共有サイトなどを利用して攻撃の発見を回避する手段です。これにより、攻撃者はC2サーバーを頻繁に変更でき、持続的な攻撃が可能となります。セキュリティ対策としては、SNSやクラウドサービスの監視、異常アクセスの振る舞い検知、Webフィルタリングが有効です。

デッドドロップ・リゾルバは、正規サービスを利用することで検知を回避する巧妙な手法ですが、サービス提供者やセキュリティ担当者が連携し、監視と対策を強化することで、被害の発生を未然に防ぐことが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。