SANS ISCのアドバイザリーによれば、AIM経由で拡散している新手のボットは、暗号化されたP2PをC&Cメカニズムとして利用している模様。
SANS ISC(Internet Storm Center)は5月1日、AOL Instant Messenger(AIM)経由で拡散している新手のボットについて、アドバイザリーを公開した。
アドバイザリーによれば、このボットはAIMのリンクをクリックすると感染する。暗号化されたP2PをCommand and Control(C&C)メカニズムとして利用している模様で、ポート8/TCP経由で相互に通信している。
C&Cの取得にDNSを利用せず、クライアント/サーバ間の通信には人間に判読できる言葉が使われていないため、侵入検知システムを使ってもネットワーク上で感染したホストを検出できない場合が多いという。
SANS ISCではこれについて、ボットネット作者が進歩や機能において新しい世代に入りつつあることを示す兆候かもしれないと指摘。ネットワークを守る側は、このような暗号/P2Pベースのボットネットに対抗するため新しい措置を講じる必要があると解説している。
Copyright © ITmedia, Inc. All Rights Reserved.