設問1
(1)
プロキシ認証に失敗したから(13字)
プロキシサーバのログに当該通信が遮断されたとのログが記録されていたとの事
プロキシサーバには「プロキシ認証」という機能があり、このせい(おかげ)で失敗していたと思われる
(2)
a: (b)
表2を見ると、ログが取得されているのはFWかプロキシサーバのみ
表1のフィルタリングルールを見ると、項番3のルールで全てのセグメントから
インターネットへのDNS通信が許可されている。
このことから該当する機器はFW(b)であると分かる
(3)
・グローバルIPアドレスMへのHTTP通信成功のログ(25字)
・パブリックDNSサービスLへのDNS通信成功のログ(25字)
攻撃の手法として、以下2つの方法が用いられる
HTTPを用いてグローバルIPアドレスMとの通信を行う
DNSを用いてパブリックDNSサービスLを経由してC&Cサーバと通信を行う
上記2つに合致するログが発見された場合は、情報が持ち出された可能性がある。
(4)
イ、ウ
イについて
グローバルIPアドレスMは追加調査によって得られた情報であり
当該IPアドレスを用いて、通信を遮断したりログの調査等もできるので
有効な情報であると判断できる。
ウについて
当該フォルダを共有することで、そこに存在するマルウェアを検出できる可能性が高くなる
これも有効な情報であると思われる。
設問2
(1)
エ
ソフトウェアに付与するディジタル署名と言えば「コードサイニング証明書」
この証明書の検証を行う事で、ソフトウェアが改ざんされていても検知できる。
(2)
ウ
ゴールデンチケット(TGTとも)とは、「Kerberos認証」において
各サービスを受ける為のチケット(ST)を交付してもらうために必要なチケット
今回のプロキシ認証には関係ない。
(3)
項番:3
送信元:DMZ
宛先:インターネット
サービス:DNS
動作:許可
現状の項番3ルールだとどこからでもインターネットへのDNS通信が可能となってしまっている
このままだとマルウェアに感染したPC(オフィスセグメント)からパブリックDNSサービスLへの通信が可能となる。なので送信元を必要最小限に絞る。
インターネットへのDNS通死因が必要なのは「外部DNSサーバ」だけ(図1の注1)
固定のIPアドレスが割り振られている等の記載もないので、他のルールに則って
送信元にはセグメント単位、今回では「DMZ」を設定する。
その他の設定はそのまま。
(4)
b:権威DNSサーバ
c:外部DNSサーバ
d:再帰的クエリ
表3項番3の対策案は、攻撃対象組織が管理するDNSサーバを経由したC&C通信を想定した
防御案なのではないかと思われます。(図2 う)
その線で行く前提で、まずは c から考える
c はC&Cサーバと通信を行う可能性があるDNSサーバが入ると想定できる
図1を見ると、外部/内部DNSサーバの2つがあるが
さらに注記、注1、注2を見ると
外部DNSサーバはインターネットの権威DNSサーバと通信を行う(フルサービスリゾルバ)
利用者向けのWebサーバやメールサーバの名前解決は「ドメイン登録サービス」を使っている
内部DNSサーバは外と通信せず、完全に社内用となる。
上記からC&C通信を行う可能性があるのは外部DNSサーバ(空欄c)
次に d は
外部DNSサーバ(空欄c)に攻撃用ドメインについての[ d ]を送信すると…とある
外部DNSサーバはフルサービスリゾルバ(キャッシュサーバ)の役割だったので
送信するのは再帰的クエリ(再帰問い合わせも〇??)となる
となると b には権威DNSサーバが入る
再帰問い合わせでキャッシュが存在しない場合は、攻撃用ドメインの権威DNSサーバ(C&Cサーバ)に対し、非再帰的クエリ(非再帰/反復問い合わせ)を送信する。
(5)
特定のドメインに対する多数のDNSクエリの発生(23字)
図2の8(い)の通り、窃取した情報は一定のサイズに分割されて送信されるとのこと
窃取した情報が大量であれば、そのぶん多くの数に分割されて送信される
となると、特定のドメイン(恐らく攻撃用ドメインの事)に対して多くのDNSクエリが発生する
ということ。
また問題中では触れられていないが
情報を分割して送信するのは恐らく、何らかのセキュリティ機器による検知の仕組みを回避する為だと思われます。
感想
後半はDNS色が強いけど
フィルタリングルールやログ関連の設問もあって総合的な内容だと思います。
ISACについても、入手した情報をうまく活用することで
自社に起きうる攻撃への対策が出来るかと思われます。
コメント