最初のマルウェアが DNS-over-HTTPS (DoH) を控えめに利用してコマンド&コントロールインフラストラクチャのIPを取得するようになってから1年が経ちます。セキュリティ研究者たちは、これが深刻な問題になる可能性があるとすでに警告しており、そのような悪意あるトラフィックを検出する助けとなる解決策を探し始めました。ますます多くの マルウェアがDoHトラフィックに切り替えてきています、このプロトコルはChromeとOperaで使用でき、Mozillaはすでに米国のユーザーに対してデフォルトでこの機能を有効にしています。 マルウェアが そして今、2020年5月以来、イランのAPTグループがサイバースパイ活動でこのプロトコルを使用していることが知られています。
グループ(別名APT34またはHelix Kitten)は、約6年間活動しており、セキュリティ研究者たちはこのAPTグループに関連する新しいツールを定期的に発見しています。 グループ(別名APT34またはHelix Kitten)は、約6年間活動しており、セキュリティ研究者たちはこのAPTグループに関連する新しいツールを定期的に発見しています。 最近の攻撃で , 彼らは侵害されたネットワークへの侵入時にDNSExfiltratorと呼ばれる新しいツールを使用しました。このツールは、DNS-over-HTTPSプロトコルを使用して2つのポイント間でデータを転送することができ、Oilrigは内部ネットワーク間でデータを横移動し、外部のポイントにデータを流出させるためにこれを使用しています。 Roman Ranskyiによって開発された新しい排他的Sigmaルールは、セキュリティソリューションがDoHプロトコル経由の可能性のあるC2接続を発見することを可能にします:
このルールは以下のプラットフォームに対応しています: このルールは以下のプラットフォームに対応しています:
NTA: Corelight
MITRE ATT&CK:
MITRE ATT&CK:
MITRE ATT&CK:
戦術: コマンド&コントロール
テクニック: 一般的に使用されるポート (T1043), 標準アプリケーション層プロトコル (T1071)
SOC Prime TDMを試してみますか?
無料でサインアップ できます。またはThreat Bounty Programに参加して、 独自のコンテンツを作成し、TDMコミュニティと共有できます。 to craft your own content and share it with the TDM community.
