セキュリティ企業のKaspersky LabとCrowdStrikeは3月28日、迷惑メールの送信や仮想通貨の窃盗に使われているマルウェア「Kelihos」(別名Hlux)のボットネットを実質的に乗っ取る形で攻撃を阻止することに成功したと発表した。
両社のブログによると、今回の作戦はHoneynet ProjectおよびDell SecureWorksと共同で実施。Kelihosは感染したマシン同士を接続してP2Pのボットネット・ネットワークを形成し、攻撃に利用しているが、作戦ではこの手法を逆手に取って利用した。
まず攻撃側のアーキテクチャの弱点を見つけて細工を施したメッセージを仕込み、ボットネットからの通信をセキュリティ企業が制御するサーバにリダイレクトさせた。さらに感染マシンが攻撃者からの命令を受け取るのを阻止して、攻撃者がボットネットをコントロールできないようにしたという。
これに対して攻撃側は、ボットの新バージョンを繰り出して対抗しようとしてきたが、作戦が始まってから2日後に、ボットネットの制御に使っていたインフラを破棄したという。
今回の作戦を通じてCrowdStrikeの制御下に囲い込んだ感染マシンは6日間で11万6000台を超えたという。その内訳をOS別にみると、Windows XPが全体の84%と圧倒的多数を占め、次いでWindows 7(8%)、Windows 7 SP1(5%)の順だった。
CrowdStrikeなどは感染マシンを接続させたネットワークの運営を当面継続し、ISPに連絡を取ってマルウェアの駆除を支援するとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR