見出し画像

世界唯一のDNSエキスパート集団 ”Infoblox Threat Intel” の実力とは

当社には ”Infoblox Threat Intel” と呼ばれるDNS脅威インテリジェンス調査チームがいます。Infoblox Threat Intelは、独自の DNS 脅威インテリジェンスの先駆者であり、世界唯一のDNSエキスパート集団です。
 
DNS脅威インテリジェンスは、ただ防御するだけでなく、先を見越して、当社の知見を活用して脅威アクターのインフラストラクチャを追跡し、脅威アクターが侵入するサイバー犯罪を阻止します。
 
本ブログでは、DNS脅威インテリジェンスと他脅威インテリジェンスとの明確な違いなども含めて、弊社のプロテクティブDNS(PDNS)であるBloxOne Threat Defenceのコアな部分である Infoblox Threat Intel の全貌をお伝えします。
 



何故、DNS 脅威インテリジェンスなのか


DNS(ドメインネームシステム)は、インターネットを支える基盤として非常に重要な役割を果たしています。ユーザーがウェブサイトにアクセスしたり、メールを送ったり、リモートサーバーと接続を確立する際には、必ずDNSクエリが生成されます。このため、DNSは脅威インテリジェンスの豊富な情報源として機能します。
 
DNSトラフィックを情報の基盤とすることで、全ての通信の最初に発生するDNSリクエストの監視を通じて、組織は自身のネットワークが悪意のあるドメインや疑わしいサイトと通信を行っているかどうかを検出できます。これにより、脅威の全体像を効果的に把握することが可能となります。
 

また、多くのドメインがサイバー攻撃の一部として使用されています。事実、Threat Intelが発見した以下の攻撃アクターを詳しく見てみると、多くのドメインが持続的にインフラへの攻撃の一部として使用されています。 

Infobloxが発見した脅威アクター


VexTrio Viper(旧 VexTrio)


Vextrio Viper は、トラフィック分散システム(TDS)、類似ドメイン、登録ドメイン生成アルゴリズム(RDGA)の3つを組み合わせてマルウェア、詐欺、違法コンテンツを配信する大規模な犯罪組織を運営する常習的な脅威アクターです。Vextrio Viper は DNS に非常に熟練しています。このスキルにより、他の多数の犯罪者のトラフィックを仲介する、史上最大のサイバー犯罪アフィリエイトプログラムを作成して運営することができています。VexTrio Viper とそのアフィリエイトは、さまざまな攻撃ベクトルを通じて世界中のユーザーを標的にしています。これは、Infoblox が顧客ネットワークで観察した中で最も広範囲に及ぶ脅威アクターです。Vextrio Viper は以前は VexTrio として知られていました。
 


Loopy Lizard(旧 OpenTangle)


Loopy Lizard は、ユーザーの認証情報をフィッシングする目的で金融機関や政府機関に類似したドメインを作成する DNS 脅威アクターです。主な標的は、米国とオーストラリアの消費者ですが、西ヨーロッパやカナダも標的にしています。Loopy Lizard は、異常なネームサーバー構成のため、DNS を通じて識別されました。Loopy Lizard は以前は Open Tangle と呼ばれていました。


Decoy Dog


Decoy Dogは、DNS を使用してコマンドアンドコントロール(C2)を行うマルウェアツールキットです。これにより、侵害されたクライアントは、専用の DNS ネームサーバーを介して攻撃者と通信するために DNS クエリを使用できます。DNS クエリログを通じて発見され、分析された Decoy Dog は、複数のアクターによって使用されていましたが、業界では 1 年以上も検出されていませんでした。ロシア・ウクライナ戦争で最初に使用されましたが、攻撃アクターの数が増えるにつれて、東ヨーロッパ以外でも使用されている可能性もあります。


他の脅威インテリジェンスと
DNS脅威インテリジェンスの違い


DNS脅威インテリジェンスは、組織のネットワークインフラストラクチャに不可欠なコンポーネントであるDNSトラフィックの解析に特化しており、そのためインフラストラクチャ重視のアプローチとなります。DNSリクエストと応答の詳細な分析を通じて、組織は悪意のあるドメインを特定し、異常な動きを検知し、潜在的な脅威を早期に発見することが可能です。
 
具体的には、DNSベースの脅威情報は、実際の攻撃が始まる前に敵のインフラを追跡します。それはまるで、あなたを監視している脅威行為者や国家行為者を監視しているようなものです。
 
データサイエンスとDNS脅威インテリジェンスを大規模に統合し、レジストラ、TLDドメイン、SSL証明書、ネームサーバー、登録行動などのメタデータを使用して、ドメインを新規/出現または疑わしいものに分類します。永続的なインフラストラクチャのアクターを可視化し、彼らがネットワークを進化させるのを追跡します。エンドポイントデバイスや攻撃ベクターに依存しないため、最大限のカバレッジが得られます
 

例えると、敵対するインフラを追跡することで、雨が降るまで待つのに対して、雲が流れてくるのを監視し、雲行きが怪しくなったら雨が降る前に然るべき対応をするようなイメージです。

  
現在のセキュリティ業界の大半はマルウェアの特定と対策に重点を置いています。どちらのアプローチも価値がありますが、マルウェア中心の脅威インテリジェンスは通常、攻撃が一度発生して初めて有効となります。被害が生じた後に、調査と解析を行い、攻撃手法を深く理解し、それに基づいて検出シグネチャを作成することで、将来的な攻撃を阻止しようとします。
 
詳しくはこちらのブログをご確認ください。

 
 

世界で唯一のDNSエキスパート集団 Infoblox Threat Intel


Threat Intelには、業界リードするDNSの専門知識とデータサイエンスが結集しています。実際には、以下のようなことを実現しています。

  • 数十のアルゴリズムから毎日新たに登録される20万以上のドメインから疑わしいドメインを特定します 

  • 機械学習により、悪意のある目的で一緒に登録または使用されているドメインのグループを特定します

  • アクターアルゴリズムがインフラストラクチャの変化を監視し、新たな脅威を発見します 

  • ヒューマン・イン・ザ・ループ・アクセラレーションが知識をシステムにフィードバックしています 

  • ほぼリアルタイムの分析により、個々のクラウド顧客のトラフィックに基づき、新たに確認されたドメインや偽装の達人からさまざまな脅威を特定します

  • 新たな攻撃や標的型攻撃から顧客をプロアクティブに保護しています

 



ここで上記を実現している Threat Intel チームをご紹介したいと思います。

チームをリードしているのは、米国国家安全保証局で22年のキャリアを持つ、レニー・バートン博士です。彼らのことは、英語では、“Eat. Sleep. DNS. Repeat.”と紹介されています。食べる時と寝る時以外はDNSのことを考えている少し特殊な方々で、日本では“三度の飯よりDNS”と訳しています。。。 


数字で見る Infoblox Threat Intel の実力


そんな彼らの実力がわかるデータがあるのでご紹介したいと思います。
 
2000年からDNS専用アプライアンスメーカーとして開発、製造、販売を手掛けてきた強みを活かし、毎日700億件のDNSイベントを分析し、毎週400万件の悪意ある不審なドメインを発見し、脅威フィードに追加しています。
 
その結果として、攻撃に利用される(平均)63日前に悪性として判断できており防御を実現しています。さらに最初のDNSクエリ前に検出された脅威の割合は60%にもなります。
 
さらにさらにセキュリティ運用者、チームにとって悩みの種である誤検知に関しても0.0002%に留まっており、DNS脅威インテリジェンスが極めて品質の高いことを証明しているのではないでしょうか。おそらく誤検知を公表しているセキュリティベンダーも多くはないはずです。

 

 
また実際に以下のようなDNS脅威インテリジェンスに関連する仮特許の出願しており、Infobloxしか提供できない唯一無二のDNS脅威インテリジェンスになります。

  • DNS早期脅威対応システム(DETERS)

  • DNS自動インテリジェンスシステム(DAISY)

  • 登録ドメインデータにおけるアルゴリズム生成ドメインの検出

  • DNSトンネリングのNLP異常対策

  • ランキングサービスとトップNランクリスト

  • DNS完全修飾ドメイン名間の視覚的類似性の検出

  • DNSクエリフィンガープリント(Qprints)
    (上記は、全てではなく一部です)


Infoblox によって発見された脅威アクター


少しマニアックですが、上記のような活動を通してThreat Intelが発見した脅威アクターを一部、紹介していきたいと思います。


Prolific Puma

Prolific Puma は、アルゴリズムで生成されたドメインを使用して、他の悪意のある攻撃者のために 短縮 URL を作成する脅威アクターです。この短縮 URL は、攻撃者がフィッシング、詐欺、マルウェアを配布する際に検出を回避するのに役立ちます。Prolific Puma は、悪意のある URL 短縮サービス提供者として特定された最初の脅威アクターです。毎日数百から数千の新しいドメインを登録し、特に「.US」のトップレベルドメインを悪用しています。
 


Savvy Seahorse

Savvy Seahorse は、被害者を偽の投資プラットフォームに誘い込んでアカウントを作成させ、個人口座に入金させ、その入金をロシアの銀行に送金する投資詐欺を専門とする DNS 脅威アクターです。Savvy Seahorse は Facebook 広告を通じてキャンペーンを展開し、偽の ChatGPT と WhatsApp ボットを活用して、ユーザーに個人情報を入力させます。信頼できる企業の名前(Apple、Meta、Mastercard、Visa、Googleなど)を悪用し、投資詐欺に誘導しています。


Muddling Meerkat

Muddling Meerkat は、中国の Great Firewall を制御できる中国の脅威アクターです。最も注目すべきは、このアクターがファイアウォールから偽の DNS MX レコードを引き出すことであり、これは以前に報告されたことのない手法です。2019 年 10 月以降、このアクターは Slow Drip DDoS 攻撃に似た高度な手法を採用していますが、その動機は謎に包まれています。オープン DNS リゾルバーを利用し、非常に古いドメインを用いて通常の DNS トラフィックに紛れ込む巧妙な手法を駆使しています。これにより、検出を回避し、DNS やセキュリティに対する高度な理解を示しています。
 


Infoblox が選ばれる理由
驚異的なまでの DNS スキルと、圧倒的な可視性


いかがでしたでしょうか?まとめとして、Infoblox が 独自の DNS 脅威インテリジェンスを作り上げる3つの理由をご案内いたします。
 

DNS のエキスパート


当社は、DNS 内に潜む脅威アクターを発見するための秘訣を知っています。疑わしいドメインから始めて、点をつなげて脅威アクターのインフラストラクチャを特定し、そこからその展開に伴い追跡を開始します。新しいドメインの出現を常に追跡し、お客様の保護に努めます。
 

脅威に関する専門知識


当社は、悪意のある攻撃者がどのように活動し、マルウェア、フィッシング、その他の脅威が DNS にどのように現れるかを理解しています。この知識を活かし、類似ドメイン、DNS C2マルウェア、登録ドメイン生成アルゴリズム(RDGA)、および不審な動作を検出する専用システムを開発しました。
 

データサイエンス


当社は、機械学習とデータサイエンスを使用して、毎日非常に大量の DNS クエリを分析し、データ流出、ドメイン生成アルゴリズム(DGA)、およびさまざまな他の脅威に対するほぼリアルタイムの保護を提供しています。
 
 

DNS脅威インテリジェンスのエキスパートと話しをしませんか?

2024年7月24日(水)~26日(金)開催のガートナー セキュリティ & リスク・マネジメント サミット への参加をご検討中でしょうか。
本サミットに、弊社 Infoblox は出展企業として参加いたします。
会場内にて、本社 主席セキュリティ・ストラテジスト との1 on 1 ミーティング(通訳付き)をご用意しております。ご興味ありましたら、事前予約をお願いします。

いいなと思ったら応援しよう!