Trusted Design

T1008 - Fallback Channels

概要

Adversaries may use fallback or alternate communication channels if the primary channel is compromised or inaccessible in order to maintain reliable command and control and to avoid data transfer thresholds.

管理者によるコメント

T1008「Fallback Channels」（フォールバック・チャネル） は、攻撃者がメインのC2（コマンド＆コントロール）通信が遮断された場合に備え、予備の通信経路を確保・利用するテクニックです。

1. 概要

この手法で攻撃者は、「通信の永続性と回復力の確保」を実現します。

何を実現できるのか:

• 接続の維持: メインのC2サーバーのドメインがブロックされたり、サーバーがダウンしたりしても、別の経路（プロトコルや接続先）を使って制御を継続できる。
• 検知の分散: メイン通信は高速なHTTPを使い、予備として低速だが検知されにくいDNSトンネリングなどを用意することで、セキュリティ製品の目を分散させる。

2. 攻撃の流れ

攻撃者はマルウェアにあらかじめ「プランB」を組み込んでおきます。

1. メイン通信の試行: マルウェアはまず、通常設定されているC2サーバー（例：特定のドメイン）への接続を試みます。
2. 障害の検知: セキュリティ対策によって接続が拒絶されたり、タイムアウトが発生したりしたことを検知します。
3. 予備経路への切り替え: 設定された優先順位に従い、別の通信方式へ切り替えます。
   • 例1: HTTP通信から、DNSのクエリを利用した通信（DNSトンネリング）に変更。
   • 例2: 企業のドメインから、GitHubやGoogleドライブ、SNSなどの正規クラウドサービス（Dead Drop Resolver）を介した指示受け取りに変更。
   • 例3: 別のIPアドレスやポート（例：443番から80番へ）への接続。
4. 制御の再確立: 予備経路を通じて新しいメインC2サーバーのアドレスを受け取り、再度メイン通信を復旧させることもあります。

3. 防御・対策

単一の経路だけでなく、システム全体の「通信の振る舞い」を多層的に監視する必要があります。

• 異常なプロトコルの監視: DNSトラフィックの異常（極端に長いサブドメイン名や大量のTXTレコード要求など）を検知し、DNSトンネリングを防ぎます。
• アウトバウンド通信のホワイトリスト化: 業務に不要なポートや、承認されていないクラウドサービスへの通信をデフォルトでブロックします。
• ドメイン生成アルゴリズム (DGA) の検知: 予備経路としてランダムに生成されるドメイン名（DGA）を使用する場合があるため、これをリアルタイムで分析・ブロックします。
• ビーコニング検知: 通信内容が暗号化されていても、一定間隔で外部と接触を図る「ビーコン」の動きを検知します。

4. 重要ポイント

• 攻撃の「粘り強さ」: 攻撃者が一度侵入に成功すると、メインのインジケーター（IP/ドメイン）を特定してブロックしただけでは不十分であることを示しています。
• プロトコル・ホッピング: 複数のプロトコルを使い分けることで、単一のセキュリティ製品（例：HTTPのみを検査するWAF）を出し抜こうとします。

5. 関連する主なCWE

• CWE-778: Insufficient Logging: 予備経路の通信（例：ICMPやDNS）がログに記録されていない場合、攻撃を見逃す原因となります。
• CWE-923: Improper Restriction of Communication Channel to Intended Endpoints: 意図しない宛先や経路での通信を制限できていない不備。

6. 関連する代表的なCVE

T1008は通信の「設計・戦略」であるため、特定の脆弱性に依存しませんが、以下の事例で顕著に見られます。

• SolarWinds攻撃 (SUNBURST): メインのC2通信が失敗した場合や特定の条件を満たした場合に、別のドメインや手法を使って通信を継続する高度なフォールバック機構を備えていました。
• Cobalt Strike: 攻撃者が広く使用するツールですが、HTTP、HTTPS、DNS、SMBビーコンなど、複数のフォールバック・チャネルを容易に構築できる機能を備えています。
• マルウェア「PlugX」: 古くからAPT攻撃で使われますが、HTTPがダメな場合はTCP、UDP、DNSと次々に通信方式を切り替えて接続を維持する能力を持っています。

分析

この攻撃手法を利用する脅威アクター

• Rocke
• APT41
• RTM
• BRONZE BUTLER
• Kimsuky
• Patchwork

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る