IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > DNS Changerマルウェア感染に関する注意喚起

DNS Changerマルウェア感染に関する注意喚起

2011年11月、DNS Changer と呼ばれるマルウェアのC&Cサーバや悪意のあるDNSサーバをFBIが差し押さえ、活動を封じ込めました。その後の懸念点などが先日のNANOG54(North American Network Operators' Group) で話し合われています。その資料 によると、現在差し押さえたサーバと同様のIPアドレスで正規のDNSサーバが運用されていますが、このDNSサーバの運用期限が3月8日に迫っています。DCWG (DNS Changer Working Group) によると、1月末時点で約45万の感染端末が観測されており、まだ感染したままのユーザは3月8日以降 DNSの名前解決ができなくなります。事実上、インターネットの利用ができなくなるため、注意必要です。

DNS Changer[1]は、Webの検索結果を改ざんしたり、閲覧中のwebページ内の広告を別なものに置き換えて表示するなどの行為を行ないます。例えば、スパイウェアを駆除しようと検索をかけると、その検索結果をスケアウェア[2](偽ウイルス対策ソフトウェア)のページに置き換えて表示させることで、悪意のあるソフトウェアをインストールさせ、金銭を詐取するなどの被害が報告されています。

DNS Changerの感染者であるかは、DCWGにも記載されているとおり、各OSのDNSサーバの設定値をチェックすることである程度判断できます[3]。また悪意のあるDNSサーバのアドレスレンジはFBIの資料DCWGのWebページに記載されており、それに合致する場合は感染者である可能性が高いです。FBIではDNSサーバのIPアドレスを入力することでこのアドレスレンジに含まれるかを検査するWebページも公開しています。IIJの解析でも、このマルウェアに感染すると、他のプロセスにコードインジェクションを行なった上でそのプロセスからレジストリ上のDNSサーバの設定を改変し、悪意のあるDNSサーバを強制することがわかっています[4]。下記の図は、DNS Changerに感染後、ネットワークの設定を表示させたものです。DNSサーバが先のFBIの資料が示すアドレスレンジに書き換えられていることがわかります。

dnschanger

またFBIの報告によれば、デフォルトパスワードのまま放置されているルータに侵入し、その設定を改変する亜種も存在するようです[5]

一部の亜種ではマスターブートレコードに感染コードを保存する場合があるため、復旧の際にはマスターブートレコードを上書きするか、ハードディスクをフォーマットした上で再インストールをするなどの対策が必要です。

なお3月8日の運用期限ですが、2月17日に米政府から4ヶ月間延長の申し立てが行われており、裁判所がこれを認めれば、7月9日まで延長される可能性もあります。


  1. DNS ChangerはGhost ClickやTDSS、TDL、Zlob、Alureonなど様々な名称で知られている。 ↩

  2. スケアウェアの解説はIIR vol.3を参照のこと。 ↩

  3. IIJが入手した検体では、アクセス先やマルウェアの特徴が酷似しているものでも、DNSを書き換えない亜種も一部存在したため、あくまでDNSの設定を改変するタイプの亜種の特定するための手段として考えた方がよい。 ↩

  4. このマルウェア解析は、IIJ独自の解析環境とともに一部JoeSecurity社のJoeSandbox を用いている。 ↩

  5. NANOG54の資料内ではUTSTARCOM、D-Link、Linksysなどが挙げられているが、この資料では実際に書きかえられた事例や、コード分析からは見つかっておらず、あくまでもコンフィグ内に存在したとの記述に止まっている。 ↩

-
 
カテゴリー :
セキュリティ事件  
タグ :
Malware   DNS  
この記事のURL :
https://sect.iij.ad.jp/d/2012/02/245395.html