#ssmjp 2018/05に参加してきました

はじめに

「#ssmjp 2018/05」という勉強会に参加してきました。
ssmjpに参加するのは久しぶりでした。
最近のssmjpの一般参加枠は「抽選式」のことが多く、抽選に外れて行けないこともあったのですが、今回は特に興味のある内容だったので「先着順」のブログ枠で参加してきました。
どの発表も面白く、参加して良かったなという感想です。
興味のある発表の時は「ブログ枠」を申し込むのがおすすめです。

また、会場を提供していただいた「LINE株式会社」様、ありがとうございました!

ssmjp.connpass.com

ssmjpについて

ssmjpは(約)月1ペースで開催されている勉強会です。
通称は「ささみ」や「ししゃも」らしいです。
インフラや運用がメインテーマのようですが、LT(ライトニングトーク)の練習の場という位置付けなため、内容についても割と自由な感じのようです。
勉強会の雰囲気を伝えるため、今回の勉強会の最初に挙げられていた「過去にあった衝撃LT」を参考に記載しておきます。

資料について

DNSのこと

DNSとは

インターネットでは、宛先のIPアドレスが分からないと通信することはできません。
しかし、人間にはIPアドレスを覚えることは難しいです。一方で「hatenablog.com」といった名前(ドメイン名)であれば覚えやすくなります。
人間に分かりやすい「ドメイン名」と、人間には分かりづらい「IPアドレス」を関連付け、ドメイン名からIPアドレスを調べる仕組みがあればとても便利になります。
インターネット上でこの役割を果たしているのが「DNS」(ドメインネームシステム)という仕組みです。

ドメイン登録について

ドメインを利用する為には、.jpや.comといったトップレベルドメインTLD)を管理している機関であるレジストリ(登録管理機関)に情報伝達する必要があります。流れは次のようになります。

レジストラント -> レジストラ -> レジストリ

WHOISとは

ドメインの各情報を記載した、誰でも参照可能なデータベースのことです。
例えば、「hatenablog.com」のWHOIS情報を調べる場合、次のサイトを使えます。

WHOIS Search | ICANN WHOIS

はてなブログドメイン情報を確認できます・・・と書きたかったのですが、GDPRの影響か、ほとんどの登録者情報が「Not Disclosed」になってますね。
GDPRについては、次のページに詳細が書かれています。
ICANNがEUのGDPRに準拠したgTLD登録データのための暫定仕様を承認 - JPNIC

ドメイン名ハイジャック

ドメイン名ハイジャックとは、何らかの方法でドメイン名を乗っ取る行為のことです。
本来のサイトではなく、フィッシングサイトやマルウェア配布サイト等に誘導することが可能になります。
ドメイン名ハイジャックの原因としては、例えば、

などがあります。

ドメイン名ハイジャックへの対策として、例えば、

などがあります。

DNSトンネリングについて

DNSトンネリングとは、DNSの通信に、別の目的を持った情報を含めることで、偽装通信の一種です。
暗号通信とは目的が異なります。

  • 暗号通信
    • どのようなデータか確認できないようにする。
    • 通信が行われていることは認知されても良い。
  • 偽装通信
    • 意味のあるデータを送信していることを知られないようにする。

DNSトンネリングの例としては、マルウェアがあります。
DNSは、ファイアウォール等でフィルタリングされいることが少なく、またDNSのログを取得していることも少ない為、マルウェアを使用する攻撃者にとって、非常に都合の良い通信と言えます。 一部のマルウェアは、C2サーバ(攻撃者がマルウェアに指令を与える為に使用するサーバ)との通信にDNSトンネリングを悪用します。
マルウェアからのDNS要求の通信に、C2サーバに送信したい情報を乗せ、
C2サーバからのDNS応答の通信に、攻撃者からの指令情報を乗せます。

DNSトンネリングを使用するマルウェアには、「PlugX」や「Helminth」などがあります。
マルウェアからの情報送信にはqname、C2サーバからの指令にはTXTレコードを使用することが多いそうです。

DNSトンネリングを使用したC2サーバとの通信への対策としては、「フルリゾルバ(DNSキャッシュサーバ)以外からの53番ポートの通信をフィルタリングし、qnameをアノマリ検知(通常とは異なるパターンを検知)する」といった方法があります。

最後に

久しぶりのssmjpは、とても楽しめました。
私はセキュリティやネットワークが好きなので、これらのテーマの回にはまた参加したいと思います。

では。