DECOY DOG
調査レポート
DNS に潜伏するマルウェア
ツールキットの発見
調査レポート
DNS に潜伏するマルウェア
ツールキットの発見
DECOY DOG 調査レポート : DNS に潜伏するマルウェアツールキットの発見2
目次
エグゼクティブサマリー ...................................................... 4
背景 ................................................................................... 6
PUPY ....................................................................................7
リモートアクセスト型トロイの木馬 (RAT) ............................................. 7
Pupy の仕組み ..................................................................... 8
セッションの開始 .................................................................. 9
クエリのコード化 ................................................................ 10
特別なドメイン名の処理 ....................................................... 12
応答のコード化 ................................................................... 12
パッシブデータ分析 ............................................................. 14
Pupy ペイロードの署名 ........................................................ 14
DECOY DOG ......................................................................15
キー交換 ........................................................................... 16
クライアントのタイムライン .................................................. 17
Decoy Dog ペイロード署名................................................... 21
ワイルドカードとジオフェンシングの動作 ................................. 23
単一ラベルの応答 ............................................................... 26
バイナリサンプル分析 .......................................................... 26
コントローラの比較 ............................................................. 28
INFOBLOX ネットワーク中の DECOY DOG ..................................... 30
結論 .................................................................... 32
目次
エグゼクティブサマリー ...................................................... 4
背景 ................................................................................... 6
PUPY ....................................................................................7
リモートアクセスト型トロイの木馬 (RAT) ............................................. 7
Pupy の仕組み ..................................................................... 8
セッションの開始 .................................................................. 9
クエリのコード化 ................................................................ 10
特別なドメイン名の処理 ....................................................... 12
応答のコード化 ................................................................... 12
パッシブデータ分析 ............................................................. 14
Pupy ペイロードの署名 ........................................................ 14
DECOY DOG ......................................................................15
キー交換 ........................................................................... 16
クライアントのタイムライン .................................................. 17
Decoy Dog ペイロード署名................................................... 21
ワイルドカードとジオフェンシングの動作 ................................. 23
単一ラベルの応答 ............................................................... 26
バイナリサンプル分析 .......................................................... 26
コントローラの比較 ............................................................. 28
INFOBLOX ネットワーク中の DECOY DOG ..................................... 30
結論 .................................................................... 32
3DECOY DOG 調査レポート : DNS に潜伏するマルウェアツールキットの発見
指標 .................................................................................... 33
付録 A: クライアントコマンド処理 ..................................................... 35
付録 B: 通信ペイロードの構造 ............................................... 36
付録 C: パッシブデータからのクライアントの再構築 .................. 36
付録 D: ペイロードの署名 ..................................................... 38
付録 E: エラー処理 .............................................................. 39
付録 F: バイナリサンプル分析 ................................................ 39
Pupy クライアントバイナリ .................................................................39
Java インジェクション関数の例 .......................................................... 40
付録 G: Decoy Dog の YARA ルール ....................................... 41
付録 H: 明らかになったセキュリティの脆弱性 ........................... 41
付録 I: 調査データa ............................................................................... 42
指標 .................................................................................... 33
付録 A: クライアントコマンド処理 ..................................................... 35
付録 B: 通信ペイロードの構造 ............................................... 36
付録 C: パッシブデータからのクライアントの再構築 .................. 36
付録 D: ペイロードの署名 ..................................................... 38
付録 E: エラー処理 .............................................................. 39
付録 F: バイナリサンプル分析 ................................................ 39
Pupy クライアントバイナリ .................................................................39
Java インジェクション関数の例 .......................................................... 40
付録 G: Decoy Dog の YARA ルール ....................................... 41
付録 H: 明らかになったセキュリティの脆弱性 ........................... 41
付録 I: 調査データa ............................................................................... 42
DECOY DOG 調査レポート : DNS に潜伏するマルウェアツールキットの発見4
エグゼクティブサマリー
Decoy Dog は、Infoblox が発見したマルウェアツールキットで、ドメインネームシステム (DNS)
を使用してコマンド&コントロール (C2) を実行します。侵害されたクライアントは、DNS ク
エリを介してコントローラと通信し、コントローラから指示を受信します。このコントローラは
DNS ネームサーバに統合され、通常の解決プロセスでクエリが送信されます。2023 年 4 月に
Decoy Dog の存在を開示し、4 月 23 日に初期調査結果の詳細レポートを公開しました。これは、
DNS データの監視により検出されました。当時の分析では、ツールキットが Pupy として知ら
れるリモートアクセス型トロイの木馬 (RAT) に基づいて構築されていることが確認されました
が、どのシステムが悪用されているか、ツールキットがどのように展開されているか、Pupy が
変更されたかどうかは不明でした。1 私たちが提供した詳細情報により、コミュニティの他の人々
が侵害されたマシンを見つけ出し、その全貌が明らかになることを期待していました。しかし、
Decoy Dog を取り巻く謎は深まるばかりです。
4 月以来、Infoblox は Decoy Dog と Pupy に関するさらなる調査を実施しました。本レポートは、
その調査結果になります。Decoy Dog は、パブリックリポジトリにないコマンドと構成を使用
する Pupy への主要なアップグレードであることがわかりました。私たちは、Decoy Dog クラ
イアントの通信を分離し、各コントローラに関する他の多くのプロパティを推測するアルゴリズ
ムを開発しました。これにより、ツールキットが拡散し、これは少なくとも 3 人の攻撃アクター
の管理下にあるとかなりの自信を持って結論付けることができます。私たちが観察した活動は依
然としてロシアと東ヨーロッパに限定されていますが、コントローラ内には複数の攻撃アクター
と一致する技術、戦術、手順 (TTP) の明確なグループが存在しています。
すべての Decoy Dog の攻撃アクターは、4 月の開示に対して何らかの形で反応し、そのバリエー
ションにより、複数の運用者がいるという私たちの評価を裏付けています。ソーシャルメディア
での最初の発表の直後、ネームサーバーの一部が停止されました。残りのすべては、最初のレポー
トで強調した動作を削除するために変更されましたが、これはコントローラに応じて異なる方法
で実現されました。あるコントローラのグループでは、ジオフェンシングと呼ばれる技術により、
発信国に応じてクエリへの応答を制限し始めましたが、他のコントローラは ping サブドメイン
のクエリへの応答を変更しました。
LinkedIn での当社の開示に対して、ある攻撃アクターは非常に迅速に反応したため、私たちは
当初、新しいドメインがセキュリティ研究者によって模倣登録されたと考えました。しかし、さ
らなる分析により、それらは置換ドメインであることが判明しました。攻撃アクターは運用を終
了するのではなく、侵害された既存のクライアントを新しいコントローラに転送しました。これ
は、攻撃アクターが既存の被害者へのアクセスを維持する必要があると感じていたことを示す普
通ではない対応です。これにより、ある 1 つの Decoy Dog ドメインのセットの TTP とその他す
べての TTP の間に明確な分離が作成されました。
当社の発表から数週間で、Decoy Dog の活動の足がかりとなった根本的なマルウェアと脆弱性
を特定する人が誰もいなかったことには驚きました。しかし、調査が進むにつれて、通信が 1 年
以上検出されなかった理由が明らかになりました。Decoy Dog を使用した攻撃は非常に標的が
絞られており、各コントローラは少数のアクティブなクライアントしかいなかったためです。一
部のサーバーは、一度に 4 ~ 8 台のアクティブなクライアントを数か月間一貫して維持します。
同時にアクティブなクライアントの数が時間の経過とともに増加していることを確認したサー
バーもありましたが、一度に観察された影響を受けたデバイスの総数は 100 台未満でした。小
規模な被害者では、一般的に金銭目的の攻撃者は排除され、デバイス上で長期間にわたって存続
する必要性があることは、高度な攻撃者と一致します。
私たち自身の Pupy トラフィックから署名を特定することで、Decoy Dog の通信の一部を再構
築することができました。私たちはインターネット上に Pupy サーバーを確立しました。これを
コードの選択的リバースエンジニアリングと組み合わせることで、DNS クエリと応答を特定の
Pupy コマンドに関連付けることができました。このことから、a) Decoy Dog には Pupy には
ないコマンドが含まれていることと、b) 下にある通信のほとんどを明らかにすることができま
した。さらに、Decoy Dog の攻撃アクターは、Pupy を利用して、キー交換などの機能のために
1 https://github.com/n1nj4sec/pupy
エグゼクティブサマリー
Decoy Dog は、Infoblox が発見したマルウェアツールキットで、ドメインネームシステム (DNS)
を使用してコマンド&コントロール (C2) を実行します。侵害されたクライアントは、DNS ク
エリを介してコントローラと通信し、コントローラから指示を受信します。このコントローラは
DNS ネームサーバに統合され、通常の解決プロセスでクエリが送信されます。2023 年 4 月に
Decoy Dog の存在を開示し、4 月 23 日に初期調査結果の詳細レポートを公開しました。これは、
DNS データの監視により検出されました。当時の分析では、ツールキットが Pupy として知ら
れるリモートアクセス型トロイの木馬 (RAT) に基づいて構築されていることが確認されました
が、どのシステムが悪用されているか、ツールキットがどのように展開されているか、Pupy が
変更されたかどうかは不明でした。1 私たちが提供した詳細情報により、コミュニティの他の人々
が侵害されたマシンを見つけ出し、その全貌が明らかになることを期待していました。しかし、
Decoy Dog を取り巻く謎は深まるばかりです。
4 月以来、Infoblox は Decoy Dog と Pupy に関するさらなる調査を実施しました。本レポートは、
その調査結果になります。Decoy Dog は、パブリックリポジトリにないコマンドと構成を使用
する Pupy への主要なアップグレードであることがわかりました。私たちは、Decoy Dog クラ
イアントの通信を分離し、各コントローラに関する他の多くのプロパティを推測するアルゴリズ
ムを開発しました。これにより、ツールキットが拡散し、これは少なくとも 3 人の攻撃アクター
の管理下にあるとかなりの自信を持って結論付けることができます。私たちが観察した活動は依
然としてロシアと東ヨーロッパに限定されていますが、コントローラ内には複数の攻撃アクター
と一致する技術、戦術、手順 (TTP) の明確なグループが存在しています。
すべての Decoy Dog の攻撃アクターは、4 月の開示に対して何らかの形で反応し、そのバリエー
ションにより、複数の運用者がいるという私たちの評価を裏付けています。ソーシャルメディア
での最初の発表の直後、ネームサーバーの一部が停止されました。残りのすべては、最初のレポー
トで強調した動作を削除するために変更されましたが、これはコントローラに応じて異なる方法
で実現されました。あるコントローラのグループでは、ジオフェンシングと呼ばれる技術により、
発信国に応じてクエリへの応答を制限し始めましたが、他のコントローラは ping サブドメイン
のクエリへの応答を変更しました。
LinkedIn での当社の開示に対して、ある攻撃アクターは非常に迅速に反応したため、私たちは
当初、新しいドメインがセキュリティ研究者によって模倣登録されたと考えました。しかし、さ
らなる分析により、それらは置換ドメインであることが判明しました。攻撃アクターは運用を終
了するのではなく、侵害された既存のクライアントを新しいコントローラに転送しました。これ
は、攻撃アクターが既存の被害者へのアクセスを維持する必要があると感じていたことを示す普
通ではない対応です。これにより、ある 1 つの Decoy Dog ドメインのセットの TTP とその他す
べての TTP の間に明確な分離が作成されました。
当社の発表から数週間で、Decoy Dog の活動の足がかりとなった根本的なマルウェアと脆弱性
を特定する人が誰もいなかったことには驚きました。しかし、調査が進むにつれて、通信が 1 年
以上検出されなかった理由が明らかになりました。Decoy Dog を使用した攻撃は非常に標的が
絞られており、各コントローラは少数のアクティブなクライアントしかいなかったためです。一
部のサーバーは、一度に 4 ~ 8 台のアクティブなクライアントを数か月間一貫して維持します。
同時にアクティブなクライアントの数が時間の経過とともに増加していることを確認したサー
バーもありましたが、一度に観察された影響を受けたデバイスの総数は 100 台未満でした。小
規模な被害者では、一般的に金銭目的の攻撃者は排除され、デバイス上で長期間にわたって存続
する必要性があることは、高度な攻撃者と一致します。
私たち自身の Pupy トラフィックから署名を特定することで、Decoy Dog の通信の一部を再構
築することができました。私たちはインターネット上に Pupy サーバーを確立しました。これを
コードの選択的リバースエンジニアリングと組み合わせることで、DNS クエリと応答を特定の
Pupy コマンドに関連付けることができました。このことから、a) Decoy Dog には Pupy には
ないコマンドが含まれていることと、b) 下にある通信のほとんどを明らかにすることができま
した。さらに、Decoy Dog の攻撃アクターは、Pupy を利用して、キー交換などの機能のために
1 https://github.com/n1nj4sec/pupy
