Adversaries may set up their own Domain Name System (DNS) servers that can be used during targeting. During post-compromise activity, adversaries may utilize DNS traffic for various tasks, including for Command and Control (ex: Application Layer Protocol). Instead of hijacking existing DNS servers, adversaries may opt to configure and run their own DNS servers in support of operations.
攻撃者は、攻撃時に使用する独自のドメインネームシステム(DNS)サーバーをセットアップすることができます。攻撃者は、攻撃後の活動において、コマンド&コントロール(例:Application Layer Protocol)を含む様々な作業でDNSトラフィックを利用する可能性があります。攻撃者は、既存のDNSサーバーをハイジャックする代わりに、作戦を遂行するために独自のDNSサーバーを設定し、実行することを選択することがあります。
By running their own DNS servers, adversaries can have more control over how they administer server-side DNS C2 traffic (DNS). With control over a DNS server, adversaries can
configure DNS applications to provide conditional responses to malware and, generally, have more flexibility in the structure of the DNS-based C2 channel.[1]
攻撃者は、独自のDNSサーバを実行することで、サーバサイドのDNS C2トラフィック(DNS)をより自由にコントロールすることができます。DNSサーバをコントロールすることで、攻撃者は、DNSアプリケーションを設定して、マルウェアに条件付き応答を提供したり、総じて、DNSベースのC2チャネルの構造をより柔軟に変化させることができます[1]。
Tactic:Resource Development
Sub-technique of: T1583