Zone Poisoning

Similar documents
JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

ログを活用したActive Directoryに対する攻撃の検知と対策

SHODANを悪用した攻撃に備えて-制御システム編-

SOC Report

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

インシデントハンドリング業務報告書

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

DNSを「きちんと」設定しよう

学生実験

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

PowerPoint Presentation

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

正誤表(FPT0417)

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

DNS DNS 2002/12/19 Internet Week 2002/DNS DAY 2

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Active Directory フェデレーションサービスとの認証連携

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

SOC Report

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

福岡大学ネットワーク認証・検疫システム実施マニュアル

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

[重要]WindowsUpdate で公開された「CVE :Microsoft SQL Server

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

PowerPoint Presentation

クラスタ構築手順書

最近 話題になったセキュリティ上の出来事は? ストレージメディアを介した感染 リムーバブルメディア (USB メモリ, デジタルカメラ ) ネットワークドライブマルウエア添付メール 標的型攻撃で使われている手法 時事ネタ ( 新型インフルエンザ等 ) への便乗改ざんされた Web サイトから悪意のあ

スライド 1

320_…X…e†Q“õ‹øfiÁ’F

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

Microsoft PowerPoint - DNSSECとは.ppt

金融工学ガイダンス

インシデント対応ハンズオン for ショーケース

ESMPRO/JMSS Ver6.0

新環境への移行手順書

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

Office 365 管理者マニュアル

Windows GPO のスクリプトと Cisco NAC 相互運用性

DNSの負荷分散とキャッシュの有効性に関する予備的検討

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

提案書タイトルサブタイトルなし(32ポイント)

PowerPoint プレゼンテーション

高度サイバー攻撃 (APT) 先進的で (Advanced) 執拗な (Persistent) 脅威 (Threat) 先進的(A) 標的組織を徹底的に調査し 目的達成のために最適化された必要最小限のツールを使用する 執拗な(P) 標的組織のネットワークに繰り返しアクセスを図り 長期にわたって居座り

PowerPoint プレゼンテーション

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

目次 1. はじめに 動作環境と操作上の注意事項 動作環境 操作上の注意事項 開始と終了 開始 終了 レコード情報編集 レコード情報編集の表示と基本操作

1 はじめに はじめに 本マニュアルは アルファメールプラチナをご利用のお客様が 新 Web サーバー環境 に移行する手順と設定方法をご案内しております 新 Web サーバー環境ご利用開始までの手順について お客様 弊社 新 Web サーバー切替の申し込み P.3 新 Web サーバー切替のお申し込

- 目次 - ページ数 1. お客様管理者用コントロールパネル (SCP) について P.2 2. 管理者用コントロールパネル (SCP) にアクセスする P.3 3. メールマネージャーについて P.5 4. FTP マネージャーについて P サイト統計情報 (Urchin) について

Windows Server 2003 におけるPrint Manager V6.0L10の留意事項

PowerPoint Presentation

1.indd

PASSEXAM

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

MRS-NXシリーズご利用ガイド

Microsoft認定資格問題集DEMO(70-642)

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

アカウント情報連携システム 操作マニュアル(一般ユーザー編)

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

IIJ GIOリモートアクセスサービス Windows 7 設定ガイド

ESMPRO/ServerManager Ver. 6 変更履歴

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

Symantec AntiVirus の設定

管理対象クライアント端末のログを管理画面で日時 端末名等により複合検索を行える機能を有すること 外部記億媒体の使用ログを CSV 形式で出力する機能を有すること 外部記億媒体の未使用期間 最終使用クライアント端末 最終使用ユーザー名を把握できること 1.3 階層管理機能 - 外部記憶媒体使用設定権限

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Information Security Self-Checking List

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

[重要]WindowsUpdate で公開された MS15-058:セキュリティ更新プログラム

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ

本日お話ししたいこと 3) 攻撃事例に見る情報連携の役割と取り組みの紹介 講演者 : 真鍋敬士 (JPCERT コーディネーションセンター ) 17:10-18:00 内容 : 標的型攻撃による被害というのは 攻撃の対象や進行度によって異なり なかなかはっきりしないものです しかし 人や組織を孤立

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

DNS(BIND9) BIND9.x のエラーをまとめたものです エラーと原因 ジオシティーズ容量大幅アップ セキュリティならお任せ! マイクロソフト 少ない初期導入コストで クラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

DNS誕生日攻撃再び

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

メールデータ移行手順

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

PowerPoint プレゼンテーション

ご利用の前に 目次 - 0. 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8. について Internet Explorer のバージョン確認 SAMWEB の初期設定 セキュリティ設定..

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

目次 1. クライアント証明書のダウンロードとインストール ログイン ( 利用者証明書管理システム ) クライアント証明書のダウンロード クライアント証明書のインストール VPN ソフト (FortiClient) のインス

AW-PCS認証設定手順1805

Microsoft Word JA_revH.doc

文書番号 :17026 初版制定日 :2013 年 03 月 02 日最終改訂日 :- 株式会社ダンゴネットサポートセンター 重要 必ずご確認ください 賃貸名人 古いバージョンの SQL Server からのデータベース移行に関する問題 1)SQL Server 互換性の問題 ) この問

Transcription:

Dynamic DNS サーバの リソースレコードを改ざんする攻撃 - Zone Poisoning - 一般社団法人 JPCERTコーディネーションセンターインシデントレスポンスグループ田中信太郎谷知亮

自己紹介 田中信太郎 ( たなかしんたろう ) インシデントレスポンスグループ情報セキュリティアナリストブログを書きました インシデントレスポンスだより : インターネット上に公開されてしまったデータベースのダンプファイル 谷知亮 ( たにともあき ) インシデントレスポンスグループ情報セキュリティアナリストブログを書きました 分析センターだより : マルウエア Datper の痕跡を調査する ~ ログ分析ツール (Splunk Elastic Stack) を活用した調査 ~ インシデントレスポンスグループの仕事 国内外からのインターネット上のコンピュータセキュリティインシデントの受付 インシデントが発生している組織への技術的支援や助言 関係組織へのコーディネーションおよび インシデントの調査 分析 2

はじめに 3

Zone Poisoning とは? DNS の動的更新 (DNS dynamic update) が許容されている DNS サーバのセキュリティ設定不備によるリソースレコードの侵害 DNS Zone example.jp. { allow-updateforwarding{ } } DNS Zone example.jp. { allow-update{ } } example.jp. スレーブ 要求転送 example.jp. マスター malicious1.example.jp 60 IN A xxx.yyy.aaa.zzz malicious2.example.jp 60 IN A xxx.yyy.aaa.zzz update 要求 攻撃者 4

Zone Poisoning の現状 海外の研究者より報告 Zone Poisoning: The How and Where of Non-Secure DNS Dynamic Updates 5

攻撃手法について 6

攻撃方法 RFC2136 に準拠した update 要求パケットを送る Python コード ( 例 ) パケット ( 例 ) 0000 45 00 00 5C 00 01 00 00 40 11 31 21 C0 A8 64 0A E.....@.1!..d. 0010 C0 A8 64 14 00 35 00 35 00 48 1D 45 00 00 28 00..d..5.5.H.E..(. 0020 00 01 00 00 00 01 00 00 07 65 78 61 6D 70 6C 65...example 0030 02 6A 70 00 00 06 00 01 09 6D 61 6C 69 63 69 6F.jp...malicio 0040 75 73 07 65 78 61 6D 70 6C 65 02 6A 70 00 00 01 us.example.jp... 0050 00 01 00 00 00 3C 00 04 C0 A8 64 1E...<...d. パケットの生成が容易 任意のリソースレコードを変更できる UDP なので ソース IP を詐称できる アクセス制御だけでは防ぎきれない.? 7

想定される攻撃シナリオ DNS example.jp. 権威サーバ Zone example.jp. { allow-update{ } } phishing.example.jp. 60 IN A xxx.yyy.aaa.zzz example.jp. 86400 IN MX mail.example.jp. mail.example.jp 86400 IN A xxx.yyy.aaa.zzz ログイン画面ユーザー名パスワード 偽 phishing.example.jp SPAM APT example.jp C&C c2.example.jp c2.example.jp. 60 IN A xxx.yyy.aaa.zzz update 要求 攻撃者 8

推奨される対策 9

推奨される対策 (Bind 編 ) TSIG 設定の実施 [ 推奨 ] 脆弱性への対処は必要 ( 例 :CVE-2017-3143, Bind9.x の TSIG 認証回避の脆弱性 ) [ 該当バージョン ] 9.11 系列 :9.11.0~9.11.1-P1 9.10 系列 :9.10.0~9.10.5-P1 9.9 系列 :9.9.0~9.9.10-P1 上記以外の系列 :9.4.0~9.8.8 ACL 制御 UDP で送信元詐称されると 攻撃はとまらない 10

推奨される対策 (Windows 編 ) セキュリティで保護された動的更新のみを許可する Windows Server 2008, Windows Server 2008 R2 https://technet.microsoft.com/ja-jp/library/cc753751.aspx Windows Server 2003 https://support.microsoft.com/ja-jp/help/816592/how-to-configure-dnsdynamic-updates-in-windows-server-2003 Windows Server 2012 以降は標準でセキュリティ保護設定済み (AD 統合 ) 11

国内の状況 12

国内の状況 1 研究者より報告 日本国内の脆弱なドメイン : 77 ドメイン 日本国内の脆弱なネームサーバ : 48 ホスト JPCERT/CC で確認できた情報 (2017 年 11 月現在 ) 日本国内の脆弱なドメイン : 74 ドメイン 日本国内で稼働している脆弱なネームサーバ : 40 ホスト 13

JPCERT/CC の対応事例 対象の DNS サーバの管理者に注意喚起 5 組織から返答 Microsoft DNS : 3 組織 非セキュリティ保護の動的更新も許可していた 意図せず Dynamic Update が有効となっていた Bind 詳細不明 不明 : 1 組織 : 1 組織 14

まとめ 15

まとめ Dynamic DNS のセキュリティ設定を確認しましょう今回の調査範囲はすべてのドメインを網羅していません自分のドメインが心配な方は $ dig researchdelft.[domain_name] 研究者の調査の痕跡が残っていた場合は脆弱な可能性が高い 16

お問合せ インシデント対応のご依頼は JPCERT コーディネーションセンター Email:pr@jpcert.or.jp Tel:03-3518-4600 https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.or.jp https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 Email:icsr-ir@jpcert.or.jp https://www.jpcert.or.jp/ics/ics-form 17

ご静聴ありがとうございました 18

参考文献 Zone Poisoning: The How and Where of Non-Secure DNS Dynamic Updates Maciej Korczynski (Delft University of Technology) Michał Król (Université de Technologie de Compiègne) Michel van Eeten (Delft University of Technology) Dynamic Updates in the Domain Name System (DNS UPDATE), Internet RFC 2136, April 1997 P. Vixie, S. Thomson, Y. Rekhter, J. Bound 19

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック