Mocbotを追え――ボットネット調査が浮き彫りにする攻撃者の狙い(1/2 ページ)
LURHQのセキュリティ研究者が、MS06-040の脆弱性を狙う最新のボット「Mocbot」の動きを実際に観察した。
パッチが適用されていないWindowsマシンを乗っ取り、IRC(Internet Relay Chat)を利用するボットネットに組み入れようとするトロイの木馬、「Mocbot」の亜種を発見したジョー・スチュワート氏は、攻撃者の意図を探るべく、ただちに調査活動を開始した。
LURHQのThreat Intelligence Groupで上級セキュリティ研究者を務めるスチュワート氏は、ボットネットの指揮管理体系をひそかに監視するシステムを立ち上げたという。同氏はこの調査で、金銭的な動機に駆られているスパマーが、大手のウイルス対策プロバイダーとのいたちごっこに勝利を収めつつあることを示す証拠を見つけた。
eWEEKのインタビューに応じたスチュワート氏は、「一度感染を許したマシンは、ボットマスター(訳注:ボットネットの管理者。「ハーダー」とも呼ばれる)に完全に支配されてしまうことがわかった。攻撃者は感染マシンにどんなことでも仕掛けられるし、マシンが正常に戻ったと100%証明する手だてもない」と話している。
マルウェアのリバースエンジニアリングの専門家として有名なスチュワート氏は、今年初めにMicrosoftが発表した警告の内容を繰り返した。
「システムからマルウェアを(完全に)取り除く唯一の方法は、ハードドライブをまっさらにして、OSを再インストールすることだ」(スチュワート氏)
数時間にわたりMocbotを監視したことで、同氏はこのような結論に至ったのだという。
「それぞれ独立したネットワーク内で、2台のマシンを稼働させた。1台をマルウェアに感染させ、もう1台にはインターネット全体の働きを模倣させた」(スチュワート氏)
この2台目のマシンは、隔離された環境の中でマルウェアを分析するための特別なツールとして使われるもので、「sandnet」とも呼ばれている。マルウェアに仮想的なインターネット空間を提供し、その相互通信を促す。
「わたしはただじっと座っているだけで、すべての通信を監視下に置き、(感染マシンが)ボットネットの支配下に入るまでの過程を観察することができた。それからその情報を抽出して外部へ持ち出し、過程を再現した。これにより、全体的な攻撃を統括するためにサーバが実際にどのような働きをしているのか、詳しく調べることができた」(スチュワート氏)
Mocbotは、MicrosoftがMS06-040のセキュリティパッチで修復したWindowsの脆弱性を悪用する。スチュワート氏の調査によると、感染したマシンは、「bniu.househot.com」や「ypgw.wallloan.com」というサイト上にある、ハードコードされた2台のコマンドアンドコントロール(C&C)サーバに接続を試みたという。
スチュワート氏は、ボットが生成したIRCログインシーケンスをキャプチャした。このシーケンスには、ユーザー名やニックネーム、チャネル名、感染マシンに対する命令の最初の部分が含まれていた。
命令はすべて暗号化されていたので、スチュワート氏はPerlスクリプトを自作し、アルゴリズムを解読しなければならなかったという。
「コマンドは簡単な暗号化がなされており、ちょっとしたリバースエンジニアリングが必要だった。Mocbotのコードを解読するために、簡単なスクリプトを記述した。これにより、チャンネルに参加してボットマスターからの命令を受け取った場合に、内容をすぐに解読して、ボットへの指示をつかむことができる」(スチュワート氏)
スチュワート氏は、telnetでポート18067(IRCサーバへの接続に使用するポート)からC&Cサーバに接続し、管理チャネルの「偵察」を始めたが、顕著な発見はなかったという。
「IRCサーバコードには、チャネルトピックに関する暗号化されたコマンドのほかは、クライアントに情報を提供する類のコマンドは含まれていなかった」(スチュワート氏)
コマンドを解読した結果、ボットマスターは感染マシンを別の管理チャネル内に組み入れる指示を出し、新たな暗号メッセージを受け取るよう画策していたことがわかった。
また解読時に観察された動作から、このコマンドが、無料の画像ホスティングサービス「PixPond.com」のURLを悪用していることも明らかになった。
「このコマンドは、提示されたURL上の(2つ目の)ファイルをダウンロードし、実行するよう命令するものだった」と、スチュワート氏は説明している。感染システムに2つ目のファイルを取得させることこそ、ボットマスターの目的だった。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。