SCAN DISPATCH : 研究者集団、逆エクスプロイトでボットネット本体の乗っ取りに成功 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

SCAN DISPATCH : 研究者集団、逆エクスプロイトでボットネット本体の乗っ取りに成功

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

●ボットネットを研究者が10日間乗っ取る

 カリフォルニア州大学サンタ・バーバーラ校のコンピュータ・サイエンス部の研究者らが、「Sinowal」ボットネットの“母船”である「中央司令部」を10日間に渡って“乗っ取り”、その動向を仔細に観察してホワイトペーパーにまとめた。現役のボットネットを“母船”側からリアルタイムでモニターして集めた70GBの情報は、外部からの観測では得られない貴重なものだ。

 「Sinowal」は別名「Torpig」とも呼ばれているトロイの木馬のボットネットだ。被害者のPCからオンライン銀行口座、クレジットカードなどの情報を記録し、これを「中央司令部」(command & control)にアップロードする。「Sinowal」は、被害者から情報を盗む技術にしろ、ミラーリングを含めた複雑な構造のインフラにしろ、非常に“できの良い”ボットネットであり、2006年の2月から3年以上も活動し続けている他に類を見ないものだ。RSAセキュリティ社の RSA Fraud Action Research Lab も「被害者のPCをまったく気がつかれることなく感染」する「非常に高度な悪意のあるクライムウェア」であるとしている。

 感染は、被害者が改ざんされた正規のサイトなどを訪れた際に、「ドライブバイ攻撃」を受けてMebrootというルートキットをダウンロードすることより始まる。改ざんされたサイトに潜んでいる悪意のある JavaScriptが、「ドライブバイ・サーバ」に置かれた Active Xやブラウザのプラグインに対するエクスプロイトをリクエスト実行し、Mebrootのインストーラをダウンロードする。エクスプロイトが成功しない場合は、被害者のPCに直接インストーラのダウンロードを試みる。このインストーラはファイル・マネージャー・プロセスにDLLを注入して、自分を隠す(システムからしてみると正規の行為のように見える)。そして、disk.sysを wrap するカーネル・ドライバをロードし、MBR を Mebroot で overwrite してしまう。

 Mebroot の役割は、悪意のあるモジュールの管理だ。一度インストールされると、「中央司令部」から悪意のあるモジュールをダウンロードし、そのうちの一つが「Sinowal」というわけだ。ダウンロードされたモジュールは暗号化されて system32 のディレクトリに、既に存在する他のファイルと同じタイムスタンプで保管されるため、ユーザーに気がつかれにくい。Mebroot はその後、2時間ごとに「中央司令部」に HTTPリクエストで現在の状態を報告する。この連絡は、高度な Mebroot専用に作られた暗号化を施されているため、HTTPを傍受して平文化することが現時点では不可能となっている。

●ボットハーダー側からの情報が得られる

 さて、今までボットネットの研究は、ボットネットのクライアントになり、クライアント側から「中央司令部」間との通信をモニターすることで行われていた。しかし、ほとんどのボットネットは、簡易化された IRC や HTTPサーバを「中央司令部」サーバとして使っているため、他のボットネットクライアントの動向や、実際にどのような個人情報を被害者の PCから盗んでいるか、また、ボットネットのネットワーク規模などは分からなかった。もちろん、「中央司令部」のドメインの DNSを改変することによって、中央管理サーバになりネットワーク全体を乗っ取ることも理論的には可能だが、ドメイン登録サービス会社の協力を得るのがほとんど不可能であった。

 「Sinowal」ボットネットのクライアントが「中央司令部」と連絡をとる時は、「Domain Flux」と呼ばれる方法をとることが分かっている。「DomainFlux」とは、ボットネットのクライアントが独自に定期的にドメインのリストを作成し、そのリストにあるドメインに片っ端から連絡を取り、最初にきちんとした返答があったドメインを「中央司令部」として認識、これを定期的に繰り返すことである。

 これに気がついた研究者たちは、ドメインのリストを作成するアルゴリズムから、ドメインのリストにリストアップされるであろうドメインを予測、その中から既にドメイン登録されてないものをピックアップしてこれを登録した。そして、「Sinowal」のプロトコルを解析し、「中央司令部」の“きちんとした返答”を分析、研究者たちが登録したドメインにボットネットのクライアントが連絡をとってきたときに“きちんとした返答”を行うことによって、ボットネットの「中央司令部」に10日間、ボットネットがアップデートを行うまでの期間、なりすますことができたのだ。

●今回の研究から得られたこと

 モニタリングの結果わかったことは、まず、ボットネットに実際に感染しているPCと「中央司令部」に連絡をとってくる IPアドレスの数とが必ずしも一致しなかったことだ。10日間で研究者たちの「中央司令部」に連絡してきたIPの数が 124万7,642 だった一方、ボットネットのクライアントの数は18万2,800 だった。これは、一つのクライアントがIPを頻繁に変更すること(実際に10日間で694回もIPアドレスを転々としたホストが観測されている)や、NATが使われていることなどがある。つまり、IPアドレスの数だけでボットネットの規模を推測する場合よりも、実際の規模は小さいということだ。

 また、ボットネットのクライアントになる被害者のほとんどが…

【執筆:米国 笠原利香】


【関連リンク】
カリフォルニア州大学サンタ・バーバーラ校のコンピュータ・サイエンス部
研究班のWebサイト
http://www.cs.ucsb.edu/~seclab/projects/torpig/
ホワイトペーパー「Your botnet is my botnet, analysis of botnet
takeover」
http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×