Mocbotを追え――ボットネット調査が浮き彫りにする攻撃者の狙い(1/2 ページ)
LURHQのセキュリティ研究者が、MS06-040の脆弱性を狙う最新のボット「Mocbot」の動きを実際に観察した。
パッチが適用されていないWindowsマシンを乗っ取り、IRC(Internet Relay Chat)を利用するボットネットに組み入れようとするトロイの木馬、「Mocbot」の亜種を発見したジョー・スチュワート氏は、攻撃者の意図を探るべく、ただちに調査活動を開始した。
LURHQのThreat Intelligence Groupで上級セキュリティ研究者を務めるスチュワート氏は、ボットネットの指揮管理体系をひそかに監視するシステムを立ち上げたという。同氏はこの調査で、金銭的な動機に駆られているスパマーが、大手のウイルス対策プロバイダーとのいたちごっこに勝利を収めつつあることを示す証拠を見つけた。
eWEEKのインタビューに応じたスチュワート氏は、「一度感染を許したマシンは、ボットマスター(訳注:ボットネットの管理者。「ハーダー」とも呼ばれる)に完全に支配されてしまうことがわかった。攻撃者は感染マシンにどんなことでも仕掛けられるし、マシンが正常に戻ったと100%証明する手だてもない」と話している。
マルウェアのリバースエンジニアリングの専門家として有名なスチュワート氏は、今年初めにMicrosoftが発表した警告の内容を繰り返した。
「システムからマルウェアを(完全に)取り除く唯一の方法は、ハードドライブをまっさらにして、OSを再インストールすることだ」(スチュワート氏)
数時間にわたりMocbotを監視したことで、同氏はこのような結論に至ったのだという。
「それぞれ独立したネットワーク内で、2台のマシンを稼働させた。1台をマルウェアに感染させ、もう1台にはインターネット全体の働きを模倣させた」(スチュワート氏)
この2台目のマシンは、隔離された環境の中でマルウェアを分析するための特別なツールとして使われるもので、「sandnet」とも呼ばれている。マルウェアに仮想的なインターネット空間を提供し、その相互通信を促す。
「わたしはただじっと座っているだけで、すべての通信を監視下に置き、(感染マシンが)ボットネットの支配下に入るまでの過程を観察することができた。それからその情報を抽出して外部へ持ち出し、過程を再現した。これにより、全体的な攻撃を統括するためにサーバが実際にどのような働きをしているのか、詳しく調べることができた」(スチュワート氏)
Mocbotは、MicrosoftがMS06-040のセキュリティパッチで修復したWindowsの脆弱性を悪用する。スチュワート氏の調査によると、感染したマシンは、「bniu.househot.com」や「ypgw.wallloan.com」というサイト上にある、ハードコードされた2台のコマンドアンドコントロール(C&C)サーバに接続を試みたという。
スチュワート氏は、ボットが生成したIRCログインシーケンスをキャプチャした。このシーケンスには、ユーザー名やニックネーム、チャネル名、感染マシンに対する命令の最初の部分が含まれていた。
命令はすべて暗号化されていたので、スチュワート氏はPerlスクリプトを自作し、アルゴリズムを解読しなければならなかったという。
「コマンドは簡単な暗号化がなされており、ちょっとしたリバースエンジニアリングが必要だった。Mocbotのコードを解読するために、簡単なスクリプトを記述した。これにより、チャンネルに参加してボットマスターからの命令を受け取った場合に、内容をすぐに解読して、ボットへの指示をつかむことができる」(スチュワート氏)
スチュワート氏は、telnetでポート18067(IRCサーバへの接続に使用するポート)からC&Cサーバに接続し、管理チャネルの「偵察」を始めたが、顕著な発見はなかったという。
「IRCサーバコードには、チャネルトピックに関する暗号化されたコマンドのほかは、クライアントに情報を提供する類のコマンドは含まれていなかった」(スチュワート氏)
コマンドを解読した結果、ボットマスターは感染マシンを別の管理チャネル内に組み入れる指示を出し、新たな暗号メッセージを受け取るよう画策していたことがわかった。
また解読時に観察された動作から、このコマンドが、無料の画像ホスティングサービス「PixPond.com」のURLを悪用していることも明らかになった。
「このコマンドは、提示されたURL上の(2つ目の)ファイルをダウンロードし、実行するよう命令するものだった」と、スチュワート氏は説明している。感染システムに2つ目のファイルを取得させることこそ、ボットマスターの目的だった。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
ITmediaはアイティメディア株式会社の登録商標です。