ニュース
» 2016年03月18日 11時16分 UPDATE

404応答にマルウェアへの命令を隠す攻撃手法を確認、ネットワーク監視で注意を

サイバー攻撃の新たな手口が確認され、警察庁が対策などをアドバイスしている。

[ITmedia]

 警察庁は3月17日、サイバー攻撃者がHTTPステータスコードを偽装してマルウェアに指令する手口を確認したとして、特徴や対策情報を公開した。ネットワーク監視などの際に注意するよう呼び掛けている。

 それによると、見つかった手口ではマルウェアが感染先の端末から攻撃者のC2(コマンド&コントロール)サーバへ接続した際に、サーバがHTTPステータスコード「404」を返す中に、別のC2サーバへ接続する命令を埋め込む。「404」は端末がリクエストしたファイルなどが接続先サーバに見つからない場合にサーバが返すコードであるため、ネットワーク監視時に接続が失敗したと誤認して、攻撃者の命令を見逃してしまう可能性がある。

keisatucho031701.jpg 確認された手口の例(警察庁より)

 警察庁は、ファイアウォールやプロキシサーバのログからマルウェアによる外部への通信を検出しようとする場合に、HTTPステータスコードが404などあっても接続の失敗と決め付けず、慎重に調べる必要があると解説する。

 対策では、例えばプロキシサーバが特定のHTTPステータスコードでの応答を指定したファイルに置き換える機能の活用がある。これにより、HTTPステータスコードが偽装されたマルウェアとC2サーバの通信による攻撃を実質的に無害化させ、通信が失敗としたみなすことができるとしている。

keisatucho031702.jpg squidで設定する例(同)
keisatucho031703.jpg 設定時の動作イメージ(同)

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -