攻撃テクニック
トンネリング
トンネリングは、安全な通信の確立や地理的制限の回避など、正当なネットワーク目的のために広く使用されています。しかし、攻撃者がセキュリティ制御をバイパスするために使用するテクニックでもあります。
定義
トンネリングとは何か?
現実世界では、トンネルは山やビルのような障壁を通り抜けるための隠された通路である。ネットワーク・トンネリングも同様で、サポートされていないプロトコルを使ってデータを転送する技術だ。具体的には、データ・パケットを他のパケットの中にカプセル化し、ネットワークの制限を回避する。この方法によって、ネットワーク・トラフィックはあたかも正当なネットワーク・プロトコルの一部であるかのように見せかけられ、他の方法ではブロックされたり制限されたりする可能性のあるシステム間の通信が可能になる。
ネットワーク内には多くの正当なトンネルが存在し、企業がアプリケーションやシステム間でデータを安全に共有するために使用されていますが、隠れたトンネルは悪意のある目的で使用されています。攻撃者はこのようなトンネルを利用してセキュリティ制御を迂回し、通常のトラフィックを装ってコマンド・アンド・コントロール活動やデータの窃取を行います。
仕組み
トンネリングの仕組み
典型的なトンネリングシナリオでは、あるプロトコルのデータは、別のプロトコルのペイロード部に内包される。外側のレイヤー(ラッパー)は通常のトラフィックに見える。内側の不正なコンテンツを隠す。これは以下のようなプロトコルで可能である:
- VPN(バーチャル・プライベート・ネットワーク)は、暗号化されたIPパケット内にプライベート・ネットワークのトラフィックをカプセル化することで、インターネット上の通信を保護する。
- セキュア・シェル(SSHトンネリング )は、クライアントとサーバーの間に暗号化された接続を設定するためのもので、多くの場合、ファイアウォールによる制限を回避するためのものである。
- DNS、HTTPS、HTTPトンネリングは 、正当なセッションの中に別のプロトコルをカプセル化することで、トラフィックを使って外部のコマンド・アンド・コントロール・サーバーと密かに通信する。
攻撃者がそれを使う理由
攻撃者がトンネリングを使う理由
攻撃者は、あるネットワーク・プロトコルを別のネットワーク・プロトコル内にカプセル化する方法としてトンネリングを使用し、セキュリティ制御を回避し、検出を回避し、侵害されたシステムとの持続的な通信を維持することを可能にします。トンネリングにより、攻撃者は、そのようなトラフィックを制限または監視するネットワーク境界を越えて、データ、コマンド、またはmalware をこっそりと送信することができます。
以下は、攻撃者がトンネリング技術を使用する具体的な理由である:
ファイアウォールやネットワーク制限の回避
- セキュリティポリシーの回避:ファイアウォールやネットワークフィルターは、特定の種類のトラフィックを許可する一方で、他の種類のトラフィックをブロックすることがよくあります。攻撃者はトンネリングを使用して、許可されたプロトコルの中に禁止されたプロトコルをカプセル化し(例えば、HTTPやDNSプロトコルの中に悪意のあるトラフィックを包み込む)、これらの制限を回避します。
- 制限されたサービスへのアクセス:トンネリングにより、攻撃者は許可されたチャネルを経由してトラフィックをルーティングすることで、外部ネットワークに公開されていない内部サービスにアクセスすることができる。
ステルスと回避
- 悪意のある活動の隠蔽:正規のプロトコルの中に悪意のある通信を埋め込むことで、攻撃者は侵入検知システム(IDS)や侵入防御システム(IPS)による検知を回避することができる。
- 暗号化と難読化:トンネリングはペイロードを暗号化し、セキュリティツールがトラフィックの内容を検査することを困難にする。
データ流出
- ステルス的なデータ盗難:攻撃者はトンネリングを使用して、セキュリティ警告をトリガーすることなく、侵害されたネットワークから機密データを流出させます。
- 検知の回避:流出したデータを通常のトラフィック・パターンと混ぜることで、攻撃者は気付かれる可能性を低くする。
持続的接続の維持
- Command and Control (C2)通信を行う:トンネリングは、セキュリティ対策が施されていても、侵害されたシステムと攻撃者のサーバー間の持続的な通信チャネルを容易にする。
- ネットワークの変化に強い:トンネルはネットワークの変化に適応し、通信が無傷であることを保証します。
匿名性と帰属回避
- ソースIPアドレスの隠蔽:トンネリングは攻撃者の発信元を不明瞭にし、防御側が攻撃元を追跡することを困難にする。
- 中間ホストの使用:攻撃者はトラフィックを複数のレイヤーや侵害されたホストを経由させ、帰属をさらに複雑にする。
プロトコルの乱用
- 許可されたプロトコルの活用:攻撃者は、ファイアウォールで一般的に許可されているプロトコル(HTTP、HTTPS、DNSなど)を悪用して悪意のある活動を行います。
- 弱点を突く:プロトコルの中には、固有の弱点があったり、あまり精査されていなかったりするものがあり、攻撃者にチャンスを与えている。
攻撃者が使用する一般的なトンネリング技術
DNSトンネリング
DNSトンネリングは、DNSクエリおよびレスポンス内にデータをカプセル化する。DNSトラフィックはドメイン名の解決に不可欠であり、多くの場合、厳格な精査なしにファイアウォールを通過することが許可されているため、攻撃者はこのプロトコルを悪用して、悪意のあるデータやコマンドをDNSパケット内に埋め込みます。このテクニックを利用することで、攻撃者はデータの流出を実行し、侵害されたシステムとのコマンド・アンド・コントロール通信を維持し、許可されたDNSトラフィックを活用してセキュリティ対策を検知されずに迂回することができます。
HTTP/HTTPSトンネリング
HTTP/HTTPS トンネリングは、標準的な HTTP または HTTPS のリクエストとレスポンスの中に悪意のあるトラフィックを埋め込むことです。攻撃者は、ウェブ・トラフィックが広く使用され、受け入れられていることを利用して、通信を隠蔽します。HTTP プロトコル内にデータをカプセル化することで、攻撃者は、通常、厳格なチェックなしにウェブ・トラフィックを許可するファイアウォールを通過することができます。HTTPS を利用することで、暗号化のレイヤーが追加され、セキュリティ・ツールによるコンテンツ検査を防ぎ、通常の暗号化されたウェブ・トラフィックの中に悪意のある活動を隠すことができます。
SSHトンネリング
SSHトンネリングは、Secure Shell(SSH)接続を使用して、ネットワーク・トラフィックを安全に転送します。攻撃者はSSHトンネルを確立し、データやコマンドをエンドツーエンドで暗号化して送信することで、ネットワーク監視ツールによるコンテンツの解析や傍受を防ぎます。この方法によって、攻撃者はネットワークの制限を回避し、侵害されたホストとの持続的で暗号化された通信チャネルを維持することができます。
ICMPトンネリング
ICMPトンネリングは、pingコマンドのようなネットワーク診断によく使用されるエコーリクエストやリプライなどのデータを、インターネット制御メッセージプロトコル(ICMP)パケット内にカプセル化するものです。攻撃者は、ネットワークのトラブルシューティングを容易にするために、ICMPトラフィックがファイアウォールを通して許可されることが多いという事実を利用して、ICMPパケット内にデータを埋め込むことでこれを悪用します。このテクニックを使えば、ICMPトラフィックが厳重に検査される可能性が低いため、ファイアウォールのルールを回避し、秘密裏にデータを転送することができる。
VPNと暗号化トンネル
攻撃者は仮想プライベートネットワーク(VPN)やカスタム暗号化トンネルを作成し、トラフィックを安全なチャネル内にカプセル化します。標準プロトコルまたはカスタム暗号化方式を使用してVPN接続を確立することで、機密性と完全性を維持しながら、ネットワークの境界を越えてデータ、コマンド、またはmalware 。このアプローチは、ネットワーク監視ツールによるトラフィックの検査や分析を困難にし、攻撃者が匿名性を維持し、検知を回避し、正当な暗号化接続を装って侵害されたシステムと持続的に通信することを可能にします。
プラットフォーム検出
