ブログ - DNSトンネリング Saitama
DNSリクエストに見せかけて外部に情報を持ち出す手段がDNSトンネリング.
「Saitama」マルウェアがDNSにメッセージを隠匿した巧妙な方法が明かされる
https://news.mynavi.jp/techplus/article/20220526-2352002/
引用: 去年見ていたシステムでは,Googleやazureなどのサーバにつけられているランダムに近いような名前のホスト名のサーバへのDNSリクエストが軒並みアラート対象になっていましたね.
つまりそういうのもあるので,DNSリクエストログを保存しておきましょう,ということでしょう.ということはDNSを自前で持つ必要があるということかな.
「Saitama」マルウェアがDNSにメッセージを隠匿した巧妙な方法が明かされる
https://news.mynavi.jp/techplus/article/20220526-2352002/
引用:
Saitamaが使っていたドメインルックアップのシンタックス
ドメイン = メッセージ, カウンタ.ルートドメイン
カウンタは通信を要求する最初の段階でランダムに生成される数値だ。SaitamaはこれをBase36でエンコードして使用する。ただし、エンコードにはC&CサーバとSaitamaで保持しているハードコードされたBase36が使われており一般的なエンコードとは異なっている。
つまりそういうのもあるので,DNSリクエストログを保存しておきましょう,ということでしょう.ということはDNSを自前で持つ必要があるということかな.