[セキュリティ 用語集 トップへ]




キルスイッチ ドメインとは(kill switch domain)


キルスイッチ ドメインとは、標的型攻撃のRATやランサムウェア(以後はマルウェアと記載)がサンドボックスをすり抜けるため、自分がサンドボックス内で活動しているかを判断するための仕組み。

マルウェアが活動を開始する基準として、登録されていないドメイン(例: asddfasdfxxxxxxxxxxxxx1231237890.com) というドメインに対してPINGを送信する。
仮にPINGで応答が戻されれば、マルウェアはサンドボックス内でテストされていると判断し活動を行わない。(活動すると不正アプリを判断され削除されるため)
何故なら一般的にサンドボックス内の仮想DNSサーバはマルウェアからのDNS クエリ―には応答して動作を確認するからである。
要するに仮想的なC&Cサーバへのクエリーが発生したと判断し、リアルのインターネットでは存在しないドメインに対してquery の応答を返すのである。

サンドボックスではなく実際のWindows PCで動作している場合は、(例: asddfasdfxxxxxxxxxxxxx1231237890.com) ドメインは存在しないためDNSの応答はない。
逆に言うと応答がないためサンドボックスではないと判断し活動を開始するのである。

asddfasdfxxxxxxxxxxxxx1231237890.com のドメイン登録を防御側が登録することにより、ランサムウェアの活動を下火にした例もある。



カテゴリ:標的型攻撃






[セキュリティ 用語集 トップへ]


本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2014 - 2017