FireEye Dead Drop Resolver - マルウェアの踏み台に
ファイア・アイとマイクロソフト、TechNetを悪用した中国のサイバー脅威グループ「APT17」の新たな手口を浮き彫りに | FireEye
だいぶ古い記事だが、気になったので見てみた。
マルウェアに感染した端末がC2サーバを正規のサービス(TechNet)を踏み台にしてIPアドレスを取得し、通信する、と思われる。
情報セキュリティ業界で「デッド・ドロップ・リゾルバー(Dead Drop Resolver)」と呼ばれるそうで、Microsoft TechNet上でIPアドレスのエンコードしてC2サーバの通信の 踏み台として利用するらしい。
攻撃者のメリットとしては・・
C2サーバの情報をダウンロードするためにアクセスするサイトは正規サービスのため、検知・遮断をされづらい。
C2サーバとの通信が失敗し標的のネットワークにアクセスできなくなった場合に、侵入したマルウェアが駆除されない限り、通信先を変更する事ができる。
代表的なマルウェアは、Elirks、Winntiとのこと。
マクニカとFireEyeのサイトを参考にした。