TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーが共有CDNエッジIPを悪用して保護的DNSフィルタリングを回避

ADAMnetworksの新たな調査によると、ハッカーは共有CDNエッジインフラを悪用してDNSベースのセキュリティ制御を回避しており、この巧妙な回避技術は「Underminr」と呼ばれています。

問題の核心は、コンテンツデリバリーネットワーク(CDN)が共有エッジIPアドレスを通じてトラフィックをルーティングする仕組みにあります。この攻撃では、デバイスがwhatismyipaddress.comのような信頼されたドメインに対して正当なDNSルックアップを実行し、CDNエッジIPへと解決されます。

しかし、攻撃者はそのドメインと通信する代わりに、Server Name Indication(SNI)またはHTTP Hostヘッダーを介して、evilsite.aiのような別のホスト名を使用し、同一IPへのTLS接続を開始します。両ドメインが同じCDNエッジにホストされているため、接続は成功し、DNSログのみに依存するセキュリティツールに盲点を生み出します。

CDNエッジの悪用によるDNS回避

DNS解決とアプリケーション層ルーティングのこのミスマッチが、重大な検出ギャップを生み出します。エンドポイントは信頼されたサービスに接続しているように見えますが、実際の通信は悪意ある宛先にリダイレクトされています。

実際には、エンドポイントが104.19.223.79のようなIPアドレスに無害なドメインを解決しながら、攻撃者が制御するドメインに紐付いた異なるSNI値を使用してTLSセッションを確立する場合があります。CDNはリクエストを受け入れて内部でルーティングするため、アラートを発生させることなくC2(コマンド&コントロール)通信、データ窃取、またはポリシー回避が可能になります。

この技術は従来のドメインフロンティングに類似していますが、動作原理は異なります。2018年頃に主要プロバイダーによってほぼ対策されたドメインフロンティングは、SNIとHTTP Hostヘッダーの不一致を利用してトラフィックを偽装していました。

一方Underminrは、DNS解決とCDNルーティング動作の矛盾を悪用します。DNSクエリは正当に見え、解決されたIPアドレスへの接続が確立されます。しかし、SNIとHTTP Hostヘッダーは同じインフラ上にホストされた全く異なるドメインを参照しています。

Image

この進化により、攻撃者は従来のドメインフロンティングを検出・ブロックするために特別に設計された最新の防御を回避できるようになりました。共有エッジ環境を活用することで、攻撃者は悪意あるトラフィックを正当なCDNアクティビティに紛れ込ませ、検出を著しく困難にします。

複数の攻撃モードを確認

  • シンプルモード:信頼されたDNSクエリの後に欺瞞的なSNIを使用して悪意あるドメインにアクセスする。
  • スプリットモード:検査をパスするために正当なTLSセッションを確立し、その後悪意あるSNIで再接続する。
  • ECHモード:Encrypted Client Hello(暗号化クライアントハロー)を使用して、検査システムから真の宛先ホスト名を隠蔽する。
  • ダイレクトIPモード:DNSテレメトリを生成せずにCDN IPへ直接接続し、DNSベースの制御を完全に回避する。

Underminr技術は攻撃者の能力を大幅に向上させ、保護された環境内での隠密かつ持続的なアクセスを可能にします。攻撃者は信頼性の高いC2チャネルを確立し、機密データを窃取し、正当に見える暗号化トンネルを使用してネットワーク出口制御を回避できます。

複雑なインフラを必要としないため参入障壁も低下し、高度な脅威アクターだけでなく技術レベルの低いグループにとっても、効果的なキャンペーンの実行が容易になります。

研究者たちは、このアプローチとFlax Typhoon、Webworm、GALLIUMといった中国系脅威グループが使用する戦術との類似点を指摘しています。

Image

これらのアクターはSoftEtherVPNなどのツールを頻繁に使用し、通常のトラフィックに溶け込む暗号化トンネルを作成します。この動作はT1133(外部リモートサービス)およびT1572(プロトコルトンネリング)を含むMITRE ATT&CKテクニックと一致しており、長期的な持続性と秘密作戦における役割を浮き彫りにしています。

この調査結果は、DNSベースのセキュリティモデルの根本的な限界を露呈しています。保護的DNSは既知の悪意あるドメインをブロックできますが、信頼されたドメインを経由してルーティングされたトラフィックが最終的に別の宛先に到達するかどうかを検証することはできません。共有インフラが関与する場合、この信頼モデルは崩壊し、攻撃者は検出されることなく活動できます。

リスクを軽減するため、組織はDNSアクティビティをネットワーク層およびアプリケーション層のシグナルと相関させる多層的な検出戦略を採用する必要があります。DNSクエリとTLSセッションパラメータの乖離を監視すること、直接IP接続を制限すること、そして高度なトラフィック分析ツールを導入することが重要なステップです。

ADAMnetworksは、この新たな攻撃ベクターへの露出を組織が特定するための共有脅威インテリジェンスイニシアチブおよびオンライン評価ツールも導入する予定です。

最新情報を入手するにはGoogle NewsLinkedInXでフォローし、GoogleでGBHをお気に入りソースに設定してください。

翻訳元: https://gbhackers.com/hackers-exploit-shared-cdn-edge-ips/

ソース: gbhackers.com
#C2通信 #CDN悪用 #DNS回避 #MITRE ATT&CK #SNI #TLSセキュリティ #Underminr #ドメインフロンティング #保護的DNS #脅威インテリジェンス

関連記事

新たなゼロクリックWhatsAppアカウント乗っ取り攻撃がiOS 16ユーザーを標的に

Anthropicがセキュリティ脆弱性を検出する無料のClaude Codeターミナルプラグインを公開

Microsoft SharePoint Serverの脆弱性がリモートコード実行攻撃を可能にする