TokyoBlackHatNews

sysdig.com 5分で読了

Sysdig Secure と VirusTotal で Fast Flux を検知する

Sysdig 脅威リサーチチーム

Image

2025年4月3日、米国家安全保障局(NSA)および他のパートナー機関は、DNS と Fast Flux に関する重要な勧告を公表しました。関係する潜在的な危険性から、国家安全保障上の脅威とまで位置付けています。本記事では、Fast Flux とは何か、そして Sysdig Secure がこの攻撃手法をどのように検知するのかを解説します。さらに、VirusTotal から Fast Flux の可能性があるドメイン名を収集する方法も取り上げます。 

Fast Flux とは?

Fast Flux とは、ドメイン名が解決される IP アドレスを高速に入れ替えることで、攻撃者のインフラを秘匿する手法です。DNS レコードには設定可能な Time To Live(TTL)値があり、サーバーが対応する IP アドレスをどれくらいの時間キャッシュすべきかを示します。既定の TTL は環境により異なりますが、一般的には 1〜24 時間の範囲です。

Fast Flux 手法を用いる場合、TTL 値ははるかに短く設定されます。通常、TTL は 5 分以下(場合によっては数秒)に設定されます。この短い時間枠により、攻撃者はコマンド&コントロール(C2)インフラの IP アドレスを継続的に変更できます。

攻撃者が Fast Flux を利用する理由

攻撃者にとって、Fast Flux 手法を利用することにはいくつかの利点があります。 

  • マルウェアがドメイン名を使って C2 サーバーの場所を特定する一方で、C2 サーバーの IP アドレスを継続的に変更できるため、IP ブロックリストは効果を失います。
  • Fast Flux により、当局やプロバイダーがホストサーバーを停止させることが困難になります。新しい IP アドレスは異なるネットワークや国に存在し得ます。調査される頃には、すでに移動している可能性があります。
  • 攻撃者の C2 インフラの信頼性と回復力が向上し、フィッシングやマルウェアコンテンツを提供する悪性ドメインが、数秒で迅速に復旧できるようになります。脅威アクター同士で DDoS 攻撃を行うことも一般的です。サーバーの IP アドレスを移動させることで、このリスクの軽減にも役立ちます。

Sysdig Secure で Fast Flux を検知する

Sysdig Secure は、実行時に Fast Flux サーバーと通信する悪性プログラムを検知できます。高度な DNS インスペクションにより、TTL が低く、複数の IP アドレスに解決されるドメインは、Sysdig Runtime Notable Events 管理ポリシー内で DNS Fast Flux Activity Detected イベントをトリガーします。Sysdig Secure には 2024 年 10 月以降、この検知機能が搭載されています。

以下の例では、悪性ドメインの TTL は 58 秒です。

Image

Sysdig Secure は、Fast Flux サーバーと通信していることが確認されたプロセスを強制終了するなど、複数の対応アクションをサポートしています。誤検知により通常の機能が中断される可能性があるため、このオプションは慎重に使用してください。 Fast Flux の検知は、正当なサーバーでも TTL 値の低い DNS レコードを使用することがあるため、難しい場合があります。これらのサーバーやプログラムについては、例外を簡単に追加できます。

Image

侵害指標(IoC)

侵害指標(IoC)を用いて Fast Flux 活動を検知することも可能です。具体的には、VirusTotal のドメイン名を利用します。VirusTotal Threat Intelligence の便利な機能の一つは、TTL を含め、ドメイン名に関する多くのデータを保存している点です。他の検索修飾子と組み合わせることで、Fast Flux が疑われるドメイン名のリストを生成するクエリを作成できます。

例えば、このクエリは、TTL が 5 分以下のドメイン名(A レコード)で、10 以上のエンジンが悪性と判断しており、かつ過去 1 か月以内に分析されたものを返します。

entity:domain a_ttl:300- category:malware positives:10+ last_modification_date:30d-

Image

VirusTotal を使用すれば、既存の検知を IoC で補強できます。このような静的 IoC に決して依存すべきではありませんが、優れた多層防御戦略において不可欠な要素です。 

Fast Flux 攻撃の防止

Fast Flux は DNS システムの機能を利用するため、パッチで修正できるバグではありません。そのため、検知と対応を含む多層防御が重要です。Sysdig Secure のようなツールを使用することで、Fast Flux を特定し、防止できます。DNS セキュリティを向上させる別の方法として、すべての DNS トラフィックを管理し、より能動的な対策を講じる Protective DNS サービスを活用することも挙げられます。 

Sysdig でクラウド脅威の先を行く

クラウドでは、1 秒 1 秒が重要です。Sysdig は、セキュリティチームが速度を落とすことなく、組織をリアルタイムで保護できるように設計されています。Wireshark、Stratoshark、Falco といった世界的に認知されたツールのオープンソースの系譜から生まれた Sysdig Secure は、その精神を受け継いでいます。Sysdig Threat Research Team(TRT) は、急速に進化するクラウド環境にセキュリティチームが追随できるよう、脅威インテリジェンスを積極的に発掘し、オープンに共有することで、この理念を体現しています。

翻訳元: https://www.sysdig.com/blog/detecting-fast-flux-with-sysdig-secure-and-virustotal

ソース: sysdig.com
#C2(コマンド&コントロール) #DNSセキュリティ #Fast Flux #IoC(侵害指標) #Sysdig Secure #TTL(Time To Live) #VirusTotal #ランタイム検知 #レイヤードディフェンス #脅威インテリジェンス

関連記事

セキュリティブリーフィング:2026年5月

特権コンテナなしのランタイムセキュリティ:最小権限制御によるコンプライアンスの迅速化

AIエージェントが主導:攻撃者がLLMを使ってCVEから内部データベースへ4つのピボットで侵入した方法