ニュース
» 2006年08月21日 08時55分 UPDATE

Mocbotを追え――ボットネット調査が浮き彫りにする攻撃者の狙い (1/2)

LURHQのセキュリティ研究者が、MS06-040の脆弱性を狙う最新のボット「Mocbot」の動きを実際に観察した。

[Ryan Naraine,eWEEK]
eWEEK

 パッチが適用されていないWindowsマシンを乗っ取り、IRC(Internet Relay Chat)を利用するボットネットに組み入れようとするトロイの木馬、「Mocbot」の亜種を発見したジョー・スチュワート氏は、攻撃者の意図を探るべく、ただちに調査活動を開始した。

 LURHQのThreat Intelligence Groupで上級セキュリティ研究者を務めるスチュワート氏は、ボットネットの指揮管理体系をひそかに監視するシステムを立ち上げたという。同氏はこの調査で、金銭的な動機に駆られているスパマーが、大手のウイルス対策プロバイダーとのいたちごっこに勝利を収めつつあることを示す証拠を見つけた。

 eWEEKのインタビューに応じたスチュワート氏は、「一度感染を許したマシンは、ボットマスター(訳注:ボットネットの管理者。「ハーダー」とも呼ばれる)に完全に支配されてしまうことがわかった。攻撃者は感染マシンにどんなことでも仕掛けられるし、マシンが正常に戻ったと100%証明する手だてもない」と話している。

 マルウェアのリバースエンジニアリングの専門家として有名なスチュワート氏は、今年初めにMicrosoftが発表した警告の内容を繰り返した。

 「システムからマルウェアを(完全に)取り除く唯一の方法は、ハードドライブをまっさらにして、OSを再インストールすることだ」(スチュワート氏)

 数時間にわたりMocbotを監視したことで、同氏はこのような結論に至ったのだという。

 「それぞれ独立したネットワーク内で、2台のマシンを稼働させた。1台をマルウェアに感染させ、もう1台にはインターネット全体の働きを模倣させた」(スチュワート氏)

 この2台目のマシンは、隔離された環境の中でマルウェアを分析するための特別なツールとして使われるもので、「sandnet」とも呼ばれている。マルウェアに仮想的なインターネット空間を提供し、その相互通信を促す。

 「わたしはただじっと座っているだけで、すべての通信を監視下に置き、(感染マシンが)ボットネットの支配下に入るまでの過程を観察することができた。それからその情報を抽出して外部へ持ち出し、過程を再現した。これにより、全体的な攻撃を統括するためにサーバが実際にどのような働きをしているのか、詳しく調べることができた」(スチュワート氏)

 Mocbotは、MicrosoftがMS06-040のセキュリティパッチで修復したWindowsの脆弱性を悪用する。スチュワート氏の調査によると、感染したマシンは、「bniu.househot.com」や「ypgw.wallloan.com」というサイト上にある、ハードコードされた2台のコマンドアンドコントロール(C&C)サーバに接続を試みたという。

 スチュワート氏は、ボットが生成したIRCログインシーケンスをキャプチャした。このシーケンスには、ユーザー名やニックネーム、チャネル名、感染マシンに対する命令の最初の部分が含まれていた。

 命令はすべて暗号化されていたので、スチュワート氏はPerlスクリプトを自作し、アルゴリズムを解読しなければならなかったという。

 「コマンドは簡単な暗号化がなされており、ちょっとしたリバースエンジニアリングが必要だった。Mocbotのコードを解読するために、簡単なスクリプトを記述した。これにより、チャンネルに参加してボットマスターからの命令を受け取った場合に、内容をすぐに解読して、ボットへの指示をつかむことができる」(スチュワート氏)

 スチュワート氏は、telnetでポート18067(IRCサーバへの接続に使用するポート)からC&Cサーバに接続し、管理チャネルの「偵察」を始めたが、顕著な発見はなかったという。

 「IRCサーバコードには、チャネルトピックに関する暗号化されたコマンドのほかは、クライアントに情報を提供する類のコマンドは含まれていなかった」(スチュワート氏)

 コマンドを解読した結果、ボットマスターは感染マシンを別の管理チャネル内に組み入れる指示を出し、新たな暗号メッセージを受け取るよう画策していたことがわかった。

 また解読時に観察された動作から、このコマンドが、無料の画像ホスティングサービス「PixPond.com」のURLを悪用していることも明らかになった。

 「このコマンドは、提示されたURL上の(2つ目の)ファイルをダウンロードし、実行するよう命令するものだった」と、スチュワート氏は説明している。感染システムに2つ目のファイルを取得させることこそ、ボットマスターの目的だった。

       1|2 次のページへ

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ