攻撃者にEmotet拡散手段やMcAfee偽装手段を提供するドメインパーキング

By , , , and

Category: Unit 42

Tags: , ,

A conceptual image that illustrates the concepts of cybersquatting and domain parking, both of which can be abused by malicious actors to distribute malware, etc.

This post is also available in: English (英語)

概要

ドメインパーキングサービスは、ドメイン所有者がサードパーティ広告経由でサイトトラフィックを収益化するシンプルなソリューションを提供してくれるものです。ドメインパーキングは一見無害に見えるかもしれませんが、パーキングされたドメインは、訪問者を悪質なランディングページや不要なランディングページにリダイレクトさせたり、いつでも好きなときに完全に悪質なものに変えてしまう可能性があることから、大きな脅威となります。

弊社は9年以上にわたりパーキングドメインを検出してきましたが、2020年3月から9月まででは、新たに500万個のパークドメインを検出しました。また同じ期間に600万個のパークドメインが他のカテゴリに移行していることを観測しました。移行したパークドメインのうち、1.0%がPhishingやMalwareなどの「malicious(悪意のある)」カテゴリに、2.6%がAdultやGamblingなどの「not safe for work(業務上安全ではない)」カテゴリに、30.6%がQuestionable、High Riskなど「suspicious(疑わしい)」カテゴリに移行しています。良性のドメイン(コンピュータやインターネット情報、ショッピングなど)と比較して、パークドメインは、上記の良性ではないカテゴリのいずれかにカテゴリが変更される割合が8倍も高いことがわかりました。

本稿では、ドメインパーキングのエコシステムをさらに調査し、以下のようなさまざまなタイプの不正使用の概要を説明します。

  • ドメイン登録の悪用: 私たちは、valleymedicalandsurgicalclinic[.]comという現在はもうアクティブではないドメインが、グローバルなEmotetキャンペーンの一部として利用され、悪質なライフサイクルを経るさまを観察しました。Emotetは、フィッシングメールを介して配布される最も人気のあるマルウェアファミリの1つです。このキャンペーン期間中、パロアルトネットワークスは、米国、英国、フランス、日本、韓国、イタリアを含む世界中のさまざまな業界(教育、政府、エネルギー、製造、建設、通信など)の組織に対する攻撃を観測しました。フランスの組織を標的とした攻撃ではCOVID-19の世界的感染拡大が悪用されました。これらの攻撃はいずれも成功していません。
  • 広告の悪用: 私たちはまた、現在の米国大統領選挙に関連したドメインpeoplesvote[.]ukを悪用する攻撃者を観察しました。peoplesvote[.]ukにアクセスしている間、ユーザーにはほとんどの場合、広告一覧ページが表示されています。しかし時折、ユーザーは最初にエクスプロイトキットスクリプトをホストする0redira[.]com/jr.phpにリダイレクトされ、その後、ジョー・バイデンとドナルド・トランプのどちらに投票するかを尋ねるアンケートサイトにリダイレクトされます。0redira[.]com/jr.phpでホストされているエクスプロイトキットスクリプトは、ユーザーのウェブアクティビティを追跡するためにブラウザを密かにフィンガープリンティングし、ランディングURLを非表示にして、セキュリティ会社やリサーチャーに分析されたりブロックされたりしないようにします。本稿執筆時点でこれらのページはまだアクティブであるという点は注目に値するでしょう。

さらに私たちは、xfinity[.]comを模倣したドメインxifinity[.]comを観測しました。ユーザーがXfinityのウェブサイトを訪問しようとした際に誤って「i」を追加で入力すると、xifinity[.]comに移動し、不正なランディングページのantivirus-protection[.]com-123[.]xyzにリダイレクトされます。本稿執筆時点では、どちらのドメインもアクティブな状態です。このランディングページは、自分のマシンが感染しており、McAfeeのサブスクリプションが期限切れになっているとユーザーを騙そうとしています。[Proceed] ボタンをクリックすると、ユーザーはウイルス対策の定期購読を提供している正規の McAfee ダウンロードページにリダイレクトされます。攻撃者は McAfee のアフィリエイト プログラムを悪用し、広告収入を詐取しようとしているものと考えられます。

企業であれば、セキュリティのベストプラクティスとしてパークドメインを綿密に追跡するのがよいでしょう。消費者であれば、サイトに入る前にドメイン名を正しく入力し、ドメイン所有者が信頼できるかどうかをダブルチェックする必要があります。

パロアルトネットワークスの次世代ファイアウォールをご利用のお客様は、URLフィルタリングDNSセキュリティのサブスクリプションを使って「Parked」カテゴリをブロックできます。

ドメインパーキングする理由とその方法

個人や企業がドメイン名を購入してドメイン所有者になるには、レジストラ(ICANN認定のドメイン再販業者)に年会費を支払う必要があります。ドメイン所有者が自分のドメインを指定できるコンテンツやサービスを持っていない場合は、パーキングサービスを活用してユーザーのトラフィックを収益化することができます。パーキングサービスの設定は簡単で、ドメイン所有者はネームサーバー(NS)のレコードをパーキングサービスに向けるだけでかまいません。その見返りとして、パーキングサービスは訪問者に広告のリストを提示するか、ユーザーを広告主のウェブページに自動的にリダイレクトします。前者の場合、ドメイン所有者やパーキングサービスはユーザーが広告をクリックした時に支払いを受け、後者の場合、ユーザーの訪問ごとに支払いを受けます。ドメインオーナーの中には、後に再販して利益を得たり、ユーザーのトラフィックを収益化したりするために、投資として大量のドメイン名を購入する人もいます。これまでの調査研究や本稿が以下で示すように、パークドメインはエンドユーザーに大きな脅威をもたらす可能性があります。くわえて、その有用性にも疑義が残るので、パークドメインはブロックしておくのが最善かもしれません。

さて、パロアルトネットワークスでは、新たにパークドメインを追跡して、その検出結果をURL フィルタリング向けにパブリッシュするというかたちで全体をパイプライン化しています。最近はDNSセキュリティでもParkedカテゴリをはじめました。具体的に言うと、弊社のパイプライン処理は以下のようになっています。

  1. 既知のパーキングサービスプロバイダとそのインフラストラクチャを監視する
  2. ドメイン登録とパッシブDNSクエリを追跡しリバースDNSルックアップを実行する
  3. ウェブサイトのコンテンツをクロールする
  4. 機械学習を使用して複数の特徴を組み合わせ、ドメインがパークされたものかどうかを分類する

高レベルの統計

現在のパークドメインの状況を分析するために、2020年3月から9月までに検出されたパークドメインと、同期間にParkedから他のカテゴリにカテゴリが変更されたドメインを収集しました。平均すると2万7,000個の新たにパークドメインが毎日識別され、3万5,000個の既存のパークドメインが再分類されていることがわかりました。要約すると、弊社のパイプラインでは、過去6ヶ月間に500万個の新規にパークドメインが特定され、600万個のパークドメインが他のカテゴリに再分類されていました。

図1は、この期間にパークドメインの変化をどのように観察したかをまとめたものです。ここではシンプルにするためにURLフィルタリングのカテゴリを「malicious(悪意のある)」、「not safe for work(業務上安全ではない)」、「suspicious(疑わしい)」、「benign(良性)」の4つのクラスにグループ化しています。「malicious」クラスは、Malware、Command and Control(C2)、Phishing、Graywareカテゴリで構成されています。Adult、Gambling、Nudityは、「not safe for work」クラスで代表しています。「suspicious」には、Questionable、Insufficient Content、High Riskドメインが含まれています。サイトが「Questionable」に分類されるのは、ウェブコンテンツが疑わしい内容であるときです。Insufficient Contentカテゴリは通常、空白ページのウェブサイトに適用されます。また、High Riskは、ドメインが悪意のあるドメインに類似した振る舞いを見せているという意味です。Benignクラスは、ビジネスや経済、コンピュータやインターネット情報、ショッピングなど、他のすべてのカテゴリを網羅しています。図1を見ると、パークドメインの場合、Maliciousへの変更率は1.0%、not safe for workへの変更率は2.6%、suspiciousへの変更率は30.6%となっています。比較すると、Parkedカテゴリが良性ではないカテゴリに変更される確率は、良性カテゴリが良性ではないカテゴリに変更される確率の8倍となっています。

The breakdown of how parked domains we transformed during the six months we observed them: Parked domains that changed turned malicious 1% of the time, not safe for work 2.6% of the time, suspicious 30.6% of the time and benign 65.8% of the time.
図 1. 過去6ヶ月間に観測されたパークドメインが変化した先のカテゴリ一覧

図2は、最終的にmaliciousドメインとbenignドメインに分類したドメインが、カテゴリ変更前にパークされていた日数の分布を示しています。ここでは、パーキング10日間を1単位としてParkedカテゴリから別のカテゴリに変更された回数を合計し、クラスごとのドメインの総数を使って正規化しています。図2からは、maliciousカテゴリに変更されたパークドメインの25.9%以上がパーク日数が10日未満となっており、大半が60~69日前後の機関パークされている良性のドメインとは大きく異なることがわかります。私たちは、多くのサイバー犯罪者がドメインのエージングを行わず(ドメインの寿命に基づく検出機能を回避するために使用される慣行)、できるだけ早く攻撃を行うためにドメインを使用していると推測しています。

Number of days typically observed for domain parking before a category change. The graph shows malicious sites in blue lines and benign sites in red lines.
図2. 過去6ヶ月間の観測に基づく、カテゴリ変更の発生前にドメインがパ―キングされていた日数

エコシステムと攻撃ベクター

本節では、パーキングされたドメインを検出してブロックすることの利点をさらに調査していきます。第一に、ドメインパーキングのエコシステムをさまざまなステークホルダー(利害関係者)のグループに分解することから始め、最大の攻撃ベクトルはドメイン登録であることを示します。攻撃者はパーキングドメインを登録していつでも悪意のあるドメインに変えられるからです。第二に、パーキングサービスで使用されている複数の小規模広告ネットワークでは広告がコントロールされておらず、そのためにこのしくみを攻撃者が悪用すれば、訪問者を悪意のある、または望ましくないランディングページにリダイレクトさせることができる、ということを示します。最後に私たちは、そもそもパーキングサービス自体がユーザーにプライバシー上の脅威をもたらす可能性があることを示します。

ステークホルダー

ドメインパーキングエコシステムの主要なステークホルダー(利害関係者)グループとその関係を図3に示します。ここでいうステークホルダーはドメイン所有者、パーキングサービスプロバイダ、広告ネットワーク、広告主を指します。なおここで言う「ステークホルダー」は役割を表していて、同じエンティティや複数のエンティティを参照する場合がある点にご注意ください。ドメイン所有者は、パーキングドメインを所有しており、パーキングサービスプロバイダを通じて収益化するインセンティブを持つ者たちです。パーキングサービスプロバイダは広告ネットワークからのフィードを組み込んで整理し、ユーザーのトラフィックを収益化します。広告ネットワークは、パークドメインからユーザートラフィックの特徴を割り出し、興味を持った広告主からの広告をユーザーに提示します。

Stakeholders in the domain parking ecosystem: Advertisers, Advertisement networks, Parking service providers and domain owners.
図 3. ドメインパーキングエコシステムのステークホルダーとその関係性

前述したように、ドメイン所有者がドメインを「パーク」するには、パーキングサービスのネームサーバーにNSレコードを向ける必要があります。そこで、2020年3月から9月までに検出されたパークドメインのDNS NSレコードを確認することで、サービスプロバイダの人気度を測りました。図4は、人気の高いNSドメインの上位15件を示したもので、パークドメインの大半は、GoDaddy(domaincontrol[.]com)やNameBright(namebrightdns[.]com)など大手レジストラのNSにより解決されていました。大手レジストラやホスティングプロバイダ以外にも、いくつかの専業パーキングサービスプロバイダを確認しました。そのなかで最も人気があったプロバイダはSedo (sedoparking[.]com)で、パークドメインの19.5%が利用していました。

A list of domain parking service providers, sorted by popularity. Top providers are domaincontrol[.]com, sedoparking[.]com, namebrightdns[.]com, bodis[.]com and parking crew[.]net
図4. レジストラ、ホスティングプロバイダ、専業パーキングプロバイダを含むパーキングサービスプロバイダの一覧

ドメイン登録の悪用

パークドメインがmaliciousのカテゴリに変わると、ユーザーに脅威を与える可能性があります。図1では、パークドメインの1.0%が最終的にC2やマルウェアなどのmaliciousカテゴリに変化したことを示しました。一部の攻撃者は、コストを償却するためなのか、悪意のあるコンテンツの展開前にドメイン上にパークページをホストしているようです。

たとえば私たちはドメインvalleymedicalandsurgicalclinic[.]comで、悪意のあるライフサイクルを観察しました。このドメインは2020年7月8日に登録されました。弊社の新規登録ドメイン検出器がこのドメインを発見し、ウェブサイトのコンテンツに基づいて、パーキング検出器のパイプライン処理がこれをParkedと分類しました。2カ月後、弊社のマルウェア分析エンジンWildFireは、複数のマルウェアインスタンスを捕捉しました。そのなかには、SHA256ハッシュ値 a9fe73484674696be756808e93f839be7157cd65995d8de9e67e40bf77c9b229および54ac560845b09ce00a48b604ac7c440331cbde4362839a3dbf14c378230bee21をもつものが含まれていました。これらのハッシュ値をもつマルウェアインスタンスは、valleymedicalandsurgicalclinic[. ]com/ujftb/statement/wr7hoba7i9hz というURLに2020年9月14日からホストされていました。さらにこれはEmotetの世界的キャンペーンの一部であることがわかりました(詳しくは最近のEmotetブログを参照してください)。Emotetは、フィッシングメールを介して配布される最も人気のあるマルウェアファミリの1つです。フィッシング メールに添付された文書には、被害者のマシンから C2 サーバーにコールバックするマクロ スクリプトが含まれています。Emotetはさらにトロイの木馬のペイロードをダウンロードし、被害者の認証情報を盗み出したり、被害者のマシンを侵害したりします。これらのファイルからは、不正なファイル拡張子や、50.91.114[.]38や51.38.124[.]206などの複数のC2サーバとの通信など、多くの不審な動作が確認できます。図5はEmotetキャンペーンの各フェーズを表したものです。

観測されたキャンペーンは、世界中の複数のドメインを使用して開始されていました。このキャンペーン期間中、パロアルトネットワークスは、米国、英国、フランス、日本、韓国、イタリアを含む世界中のさまざまな業界(教育、政府、エネルギー、製造、建設、通信など)の組織に対する攻撃を観測しました。フランスの組織を標的とした攻撃ではCOVID-19の世界的感染拡大が悪用され、フィッシングメールの件名にCovid19が使用されていました(類似の事例についてはCOVID-19関連の詐欺を扱ったこちらのブログを参照)。これらの攻撃はいずれも成功していません。

The phases of the Emotet compaign include a compromised website or phishing email leading to a fake doc, C2 servers and a malicious payload.
図5. Emotetキャンペーンの各フェーズの説明図

広告の悪用

ドメインパーキングのエコシステムは、ユーザーのトラフィックから利益を得るために広告主に依存しています。前述したように、パーキングサービスはユーザーに広告のリストを表示するか(ユーザーがこれらの広告をクリックした回数に応じて支払いを受ける)、ユーザーを広告主のウェブページに自動的にリダイレクトするか(ユーザーの訪問回数に応じて支払いを受ける)のいずれかを行います。多くの場合、パーキングサービスや広告ネットワークは、不正な広告主(つまり攻撃者)をフィルタリングする手段も意欲も持ちあわせていません。そのため、ユーザーは、マルウェアの配布、潜在的に不要なプログラム(PUP)の配布、フィッシング詐欺などの様々な脅威にさらされています。私たちの経験では、グレーウェアの配布が最も頻繁に観察されています。

私たちは、図4に示すように、7番目に人気のあるドメインパーキングサービスabove[.]comの管理が行き届かず、攻撃者に現在の米国大統領選挙に関連したドメインpeoplesvote[.]ukが悪用されてしまっている様子を観察しました。peoplesvote[.]ukを訪問している間、大半のユーザが図6に示すような広告リスティングページを提示されます。しかし時折、エクスプロイトキットスクリプトをホストする0redira[.]com/jr.phpにリダイレクトされ、その後、図7に示したように、ユーザーの投票の好みを尋ねるアンケートサイトにリダイレクトされることがありました。0redira[.]com/jr.phpでホストされているエクスプロイトキットスクリプトは、ユーザーのウェブアクティビティを追跡するためにブラウザを密かにフィンガープリンティングし、ランディングURLを非表示にします。本稿執筆時点では、これらのページはまだアクティブです。

This shows how peoplesvote[.]uk often appears – a parked domain with ad listings.
図6. たいていはpeoplesvote[.]ukを訪問するとこうした広告掲載ページが表示される
This shows what sometimes occurs after visiting peoplesvote[.]uk - a voting preference landing page.
図7. peoplesvote[.]ukにアクセスしてアンケートサイトにリダイレクトされた後、たまに表示されることのある、投票候補をたずねるランディングページ
さらに私たちは、最大の専業パーキングサービスプロバイダである Sedo を悪用している攻撃者も観察しました。そのときは、xfinity[.]com を模倣したタイポスクワッティングドメインで、xifinity[…]com というパークドメインを発見しました(詳細はサイバースクワッティングブログやこの学術論文を参照してください)。ユーザーが Xfinity のウェブサイトを訪問しようとしたときに誤って「i」を余計に入力してしまうと、xifinity[.]com に移動し、広告主のページにリダイレクトされてしまいます。このドメインへのトラフィックは、複数の広告主に販売されていることが判明しました。広告主の1つであるsoftonic[.]comは、ソフトウェアのダウンロードページをユーザーに提示します。

正規の広告主以外にも、攻撃者からのPUPへの複数のリダイレクトも捕捉しました。図8は悪用されたランディングページの1つ、レベルスクワットドメインの antivirus-protection[.]com-123[.]xyz を示しています。このランディングページはユーザーを騙し、自分のマシンが感染していて、McAfee の契約が切れていると思わせようとします。[Proceed] ボタンをクリックすると、ユーザーは正規の McAfee ダウンロードページにリダイレクトされ、ウイルス対策のサブスクリプションが提供されます。攻撃者は McAfee のアフィリエイトプログラムを悪用して広告収入を詐取していると考えられます。

スクワットドメイン xifinity[.]com は他のパークドメインと比べて訪問数が多く、2020年6月から9月までのパッシブDNSデータセットでは、xifinity[.]comに対する1,000件以上のDNSリクエストが観測されています。本稿執筆時点でもこのドメインはアクティブな状態にあります。ドメイン所有者の視点から見ると、パーキングサービスを利用することは、ユーザーのトラフィックを収益化するための便利な方法です。ですが不正な広告主(たとえば攻撃者)がフィルタリングされていないので、ユーザーは様々な脅威にさらされています。

This case of domain parking abuse involves a landing page that impersonates McAfee, as shown here.
図8. xifinity[.]comを訪問中、McAfeeになりすましたランディングページ

パーキングサービスの悪用

図4に示すように、14番目に人気のあるパーキングサービスプロバイダztomy[.]comを利用して、訪問者の個人情報を収集しているページがいくつか確認されました。これらのページは、ユーザーのブラウザフィンガープリントを生成し、それをパーキングのドメインに送り返していることが観察されました。パーキングされたページは、pxlgnpgecom-a.akamaihd[.]net/javascripts/browserfp.min.jsのブラウザフィンガープリントスクリプトを使用しており、様々なプライベート情報を収集してユーザーの行動を追跡しています。これらのブラウザのフィンガープリントを利用して訪問者のオンライン活動を追跡すると、広告ネットワークが訪問者に合わせた広告で訪問者をターゲットにすることができます。さらにドメイン所有者からは、自分のドメインのNSレコードが知らぬまににZTOMY NSサーバーに向けられているという苦情がオンライン上で寄せられていて、これはドメインハイジャックの一形態と考えられます。

This screenshot shows how bridgeplatform[.]biz appears with ads from domain parking service provider ztomy[.]com
図9. ztomy[.]comをパーキングサービスプロバイダとして使用しているパークドメインの例bridgeplatform[.]biz

結論

要約すると、パークドメインは、悪意のあるランディングページや不要なランディングページに訪問者をリダイレクトしたり、将来的に完全に悪意のあるものに変化したりするため、ユーザーを脅威にさらす可能性があります。パロアルトネットワークス次世代ファイアウォールをご利用中のお客様は、URLフィルタリングやDNSセキュリティを使ってParkedカテゴリをブロックすることをお勧めします。誤検知の可能性もありますし、やりすぎではないかと思われる方もおられるかもしれませんが、最低限、可視性を高めるためのアラートは設定されることをお勧めします。

パロアルトネットワークス次世代ファイアウォールをご利用中のお客様は、URL フィルタリング、DNS セキュリティ、 脅威防御のサブスクリプション サービスを介して本稿で言及されている悪意のあるインジケータ (ドメイン、IP、URL、SHA256) から保護されています。

謝辞

今回の分析に必要なデータソースの一部を提供してくださったWei Wang氏、Ryan Nangong氏にお礼申し上げます。ありがとうございました。また、本稿の改善にむけアドバイスとご支援をくださったJimmy Chen氏、Jun Javier Wang氏にも感謝の意を表したいと思います。ありがとうございました。

IOC

Emotetキャンペーン:
  • valleymedicalandsurgicalclinic[.]com
  • valleymedicalandsurgicalclinic[.]com/ujftb/statement/wr7hoba7i9hz
  • a9fe73484674696be756808e93f839be7157cd65995d8de9e67e40bf77c9b229 54ac560845b09ce00a48b604ac7c440331cbde4362839a3dbf14c378230bee21
  • 50.91.114[.]38
  • 51.38.124[.]206
フィンガープリンティング:
  • 0redira[.]com/jr.php
  • bridgeplatform[.]biz
  • peoplesvote[.]uk
サイバースクワッティング:
  • xifinity[.]com
  • antivirus-protection[.]com-123[.]xyz