RDPで感染広げるワーム「Morto」、命令系統に「DNS」

8月にRDP経由で感染する新型ワーム「Morto」が発生し、国内でも感染の疑いが出ているが、シマンテックによれば、RDPを利用する以外にも特異な性質を持っているという。

同社によれば、外部から命令を受け取るC＆Cサーバに、同ワームではドメイン名の解決を行う「DNSサーバ」のDNSの「TXTレコード」を利用していたいたという。

同社がワームを解析したところ、DNSレコードを要求するようプログラムされており、暗号化された「TXTレコード」を参照。そこからIPアドレスを得て、別のマルウェアがダウンロードし、実行していた。

今回の攻撃では、複数のドメインが悪用されていたが、いずれもDNSの本来の目的である「Aレコード」などIPを解決する値は設定されていなかった。

「Morto」の操作を行うためだけにドメインが用意していたと見られ、シマンテックでは、命令系統を隠蔽するのにDNSを利用する珍しいケースだと説明している。

（Security NEXT - 2011/09/09 ） ツイート

PR

関連記事

悪意あるファイル5％増、URLは6割減 - カスペ調査
ルータなどで広く利用されるDNSに脆弱性「DNSpooq」が判明
フィッシング詐欺やスパイウェアに対応 - Norton最新シリーズ
Windowsに危険度高い脆弱性「Bad Neighbor」 - ワーム発生に要警戒
「Windows DNS Server」の脆弱性、ワーム転用のおそれ - 早急に対処を
MTA「Exim」に対する攻撃が拡大 - 脆弱なサーバは360万台以上稼働か
MSが定例外アップデート、「SMBv3」処理の脆弱性を解消
「Emotet」に近接「Wi-Fi」経由で感染を拡大する機能
「Emotet」など複数マルウェア、新型コロナ拡大に便乗 - フィッシングも
「BlueKeep」など既知RDP脆弱性狙う攻撃に注意 - パッチ適用の徹底を