Zone Poisoning

Size: px

Start display at page:

Download "Zone Poisoning"

ひでよりののした
5 years ago
Views:

1 Dynamic DNS サーバのリソースレコードを改ざんする攻撃 - Zone Poisoning - 一般社団法人 JPCERTコーディネーションセンターインシデントレスポンスグループ田中信太郎谷知亮

2 自己紹介田中信太郎 ( たなかしんたろう ) インシデントレスポンスグループ情報セキュリティアナリストブログを書きましたインシデントレスポンスだより : インターネット上に公開されてしまったデータベースのダンプファイル谷知亮 ( たにともあき ) インシデントレスポンスグループ情報セキュリティアナリストブログを書きました分析センターだより : マルウエア Datper の痕跡を調査する ~ ログ分析ツール (Splunk Elastic Stack) を活用した調査 ~ インシデントレスポンスグループの仕事国内外からのインターネット上のコンピュータセキュリティインシデントの受付インシデントが発生している組織への技術的支援や助言関係組織へのコーディネーションおよびインシデントの調査分析 2

3 はじめに 3

4 Zone Poisoning とは? DNS の動的更新 (DNS dynamic update) が許容されている DNS サーバのセキュリティ設定不備によるリソースレコードの侵害 DNS Zone example.jp. { allow-updateforwarding{ } } DNS Zone example.jp. { allow-update{ } } example.jp. スレーブ要求転送 example.jp. マスター malicious1.example.jp 60 IN A xxx.yyy.aaa.zzz malicious2.example.jp 60 IN A xxx.yyy.aaa.zzz update 要求攻撃者 4

5 Zone Poisoning の現状海外の研究者より報告 Zone Poisoning: The How and Where of Non-Secure DNS Dynamic Updates 5

6 攻撃手法について 6

攻撃方法 RFC2136 に準拠した update 要求パケットを送る Python コード ( 例 ) パケット ( 例 ) 0000 45 00 00 5C 00 01 00 00 40 11 31 21 C0 A8 64 0A E.....@.1!..d. 0010 C0 A8 64 14 00 35 00 35 00 48 1D 45 00 00 28 00..d..5.5.H.E..(. 0020 00 01 00 00 00 01 00 00 07 65 78 61 6D 70 6C 65.

7 攻撃方法 RFC2136 に準拠した update 要求パケットを送る Python コード ( 例 ) パケット ( 例 ) C C0 A8 64 0A E.....@.1!..d C0 A D d..5.5.H.E..( D 70 6C 65...example A D 61 6C F.jp...malicio D 70 6C A us.example.jp C C0 A8 64 1E...<...d. パケットの生成が容易任意のリソースレコードを変更できる UDP なのでソース IP を詐称できるアクセス制御だけでは防ぎきれない.? 7

8 想定される攻撃シナリオ DNS example.jp. 権威サーバ Zone example.jp. { allow-update{ } } phishing.example.jp. 60 IN A xxx.yyy.aaa.zzz example.jp IN MX mail.example.jp. mail.example.jp IN A xxx.yyy.aaa.zzz ログイン画面ユーザー名パスワード偽 phishing.example.jp SPAM APT example.jp C&C c2.example.jp c2.example.jp. 60 IN A xxx.yyy.aaa.zzz update 要求攻撃者 8

9 推奨される対策 9

10 推奨される対策 (Bind 編 ) TSIG 設定の実施 [ 推奨 ] 脆弱性への対処は必要 ( 例 :CVE , Bind9.x の TSIG 認証回避の脆弱性 ) [ 該当バージョン ] 9.11 系列 :9.11.0~ P 系列 :9.10.0~ P1 9.9 系列 :9.9.0~ P1 上記以外の系列 :9.4.0~9.8.8 ACL 制御 UDP で送信元詐称されると攻撃はとまらない 10

11 推奨される対策 (Windows 編 ) セキュリティで保護された動的更新のみを許可する Windows Server 2008, Windows Server 2008 R2 Windows Server Windows Server 2012 以降は標準でセキュリティ保護設定済み (AD 統合 ) 11

12 国内の状況 12

13 国内の状況 1 研究者より報告日本国内の脆弱なドメイン : 77 ドメイン日本国内の脆弱なネームサーバ : 48 ホスト JPCERT/CC で確認できた情報 (2017 年 11 月現在 ) 日本国内の脆弱なドメイン : 74 ドメイン日本国内で稼働している脆弱なネームサーバ : 40 ホスト 13

14 JPCERT/CC の対応事例対象の DNS サーバの管理者に注意喚起 5 組織から返答 Microsoft DNS : 3 組織非セキュリティ保護の動的更新も許可していた意図せず Dynamic Update が有効となっていた Bind 詳細不明不明 : 1 組織 : 1 組織 14

15 まとめ 15

16 まとめ Dynamic DNS のセキュリティ設定を確認しましょう今回の調査範囲はすべてのドメインを網羅していません自分のドメインが心配な方は $ dig researchdelft.[domain_name] 研究者の調査の痕跡が残っていた場合は脆弱な可能性が高い 16

17 お問合せインシデント対応のご依頼は JPCERT コーディネーションセンター Tel: インシデント報告制御システムインシデントの報告 17

18 ご静聴ありがとうございました 18

19 参考文献 Zone Poisoning: The How and Where of Non-Secure DNS Dynamic Updates Maciej Korczynski (Delft University of Technology) Michał Król (Université de Technologie de Compiègne) Michel van Eeten (Delft University of Technology) Dynamic Updates in the Domain Name System (DNS UPDATE), Internet RFC 2136, April 1997 P. Vixie, S. Thomson, Y. Rekhter, J. Bound 19

JPCERT/CCインシデント報告対応レポート[2013年7月1日～ 2013年9月30日]

JPCERT/CCインシデント報告対応レポート[2013年7月1日～ 2013年9月30日] JPCERT-IR-2013-03 発行日 : 2013-10-10 JPCERT/CC インシデント報告対応レポート [2013 年 7 月 1 日 ~ 2013 年 9 月 30 日 ] 1. インシデント報告対応レポートについて一般社団法人 JPCERT コーディネーションセンター ( 以下 JPCERT/CC といいます ) では国内外で発生するコンピュータセキュリティインシデント (