DNS分析

DNS分析とは、コンピュータネットワーク内のDNSトラフィックの監視(収集と分析)です。このようなDNSトラフィックの分析は、情報セキュリティコンピュータフォレンジックにおいて、特にコンピュータネットワーク内における内部脅威マルウェアサイバー兵器、そして高度な持続的脅威(APT)キャンペーンを 特定する上で重要な役割を果たします。

DNS Analyticsのプロセスとインタラクションには、DNSクエリと更新の解決中にDNSクライアントとDNSサーバー間の通信が関与するため、リクエストのログ記録、ノードごとの履歴監視、リクエスト数の集計、ネットワークトラフィックリクエストに基づく計算などのタスクが含まれる場合があります。DNS Analyticsの主な目的は後述するセキュリティですが、ネットワークトラフィックを理解し、改善や最適化のための評価を行うことも目的としています。例えば、DNS Analyticsは、 PCソフトウェア更新に関する大量の関連リクエストが発生するラボでデータを収集するために使用できます。この状況が判明した場合、ネットワークを改善するためにローカル更新サーバーを設置する場合があります。

発表された研究

公開されている調査によると、国家が支援するマルウェアやAPTキャンペーンにはDNSの侵害の兆候(IOC)が見られる。2010年6月以来、サイバー兵器のプラットフォームとエージェントの分析は、Kaspersky LabESETSymantecMcAfeeNorman SafegroundMandiantなどの研究所によって行われている。これらの組織によって発表された調査結果には、Stuxnet[ 1 ] Flame[ 2 ] Hidden Lynx、[ 3 ] Operation Troy、[ 4 ] The NetTraveler、[ 5 ] Operation Hangover、[ 6 ] Mandiant APT1[ 7 ] Careto [ 8 ]の詳細な分析が含まれている。これらのマルウェアおよびAPTキャンペーンは、DNS分析ツールを使用することで、コンピュータネットワーク内で確実に識別できる。

参考文献

  1. ^ 「Stuxnetの実態」(PDF) ESET 2011年7月10日時点のオリジナル(PDF)からアーカイブ。 2014年2月25日閲覧
  2. ^ 「屋根が燃えている - FlamesのC&Cサーバーを追跡」 Kaspersky Lab . 2023年8月22日。
  3. ^ 「Hidden Lynx」(PDF) . Symantec . 2014年8月9日時点のオリジナル(PDF)からアーカイブ。 2014年2月25日閲覧
  4. ^ 「オペレーション・トロイの分析」(PDF)マカフィー.
  5. ^ 「The Nettraveler, Part 1」(PDF) . Kaspersky Lab . 2013年9月27日時点のオリジナル(PDF)からアーカイブ。 2014年2月25日閲覧
  6. ^ 「インドのサイバー攻撃インフラの解明」(PDF)ノーマン・セーフグラウンド2014年3月17日時点のオリジナル(PDF)からアーカイブ2014年2月25日閲覧
  7. ^ 「Mandiant APT1レポート」(PDF) . Mandiant . 2013年2月19日時点のオリジナル(PDF)からアーカイブ2014年2月25日閲覧。
  8. ^ 「Unveiling the Mask」(PDF) . Kaspersky Lab . 2014年2月25日時点のオリジナル(PDF)からアーカイブ2014年2月25日閲覧。