DNS設定を書き換えるマルウェアにご注意ください

DNS設定を書き換えるマルウェア

2012年頃より、「DNS Changer（ディーエヌエス チェンジャー）」と呼ばれる、パソコンのDNS設定を書き換え、不正なサイトにアクセスさせようとするマルウェアが流行しています。

2019年現在でも、同様の動作をするマルウェアが存在しており、「GhostDNS（ゴースト ディーエヌエス）」と名前を変えて存在しています。

DNS設定が書きかわると？

DNSは、Webサイトの閲覧など、インターネットに不可欠な仕組みです。
例えば、http://mcsecurity.co.jp/ にアクセスしようとした際、ドメイン名のmcsecurity.co.jp をIPアドレスに変換してくれるのがDNSサーバです。

このDNS設定が不正なものに書き換えられてしまうと、一般のサイトにアクセスしようとした際に、不正なDNSサーバによって、悪意のあるIPアドレスに接続させられ、マルウェア感染をしてしまう恐れがあります。

NetStableでの検知

NetStableでは、DNS ChangerやGhostDNSの脅威を検知するシグネチャをリリースしています。

• 2000861 – 2000864 Malicious DNS Server connection
  DNS設定を書き換え、不正サイトに誘導するDNSサーバへの接続を検出するシグネチャです。
• 2001057 – 2001058 DNSpionage Office document download
  DNSpionageのマルウェアを実行する際に発生する通信を検出するシグネチャです。
• 2001163 – 2001184 GhostDNS C2 IP Connect
• 2001185 – 2001208 GhostDNS C2 Domain Connect
• 2001209 – 2001210 GhostDNS C2 URL Connect
  DNS設定を書き換えるマルウェアGhostDNSが感染後にアクセスするC2サーバへのアクセスを検出するシグネチャです。

まとめ

• DNSはインターネットを利用する際に不可欠な仕組み
• DNS設定を書き換えるマルウェアが存在している
• 不正なDNSサーバによって、マルウェア感染をしてしまう恐れがある