SCAN DISPATCH : 研究者集団、逆エクスプロイトでボットネット本体の乗っ取りに成功
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
国際
海外情報
──
●ボットネットを研究者が10日間乗っ取る
カリフォルニア州大学サンタ・バーバーラ校のコンピュータ・サイエンス部の研究者らが、「Sinowal」ボットネットの“母船”である「中央司令部」を10日間に渡って“乗っ取り”、その動向を仔細に観察してホワイトペーパーにまとめた。現役のボットネットを“母船”側からリアルタイムでモニターして集めた70GBの情報は、外部からの観測では得られない貴重なものだ。
「Sinowal」は別名「Torpig」とも呼ばれているトロイの木馬のボットネットだ。被害者のPCからオンライン銀行口座、クレジットカードなどの情報を記録し、これを「中央司令部」(command & control)にアップロードする。「Sinowal」は、被害者から情報を盗む技術にしろ、ミラーリングを含めた複雑な構造のインフラにしろ、非常に“できの良い”ボットネットであり、2006年の2月から3年以上も活動し続けている他に類を見ないものだ。RSAセキュリティ社の RSA Fraud Action Research Lab も「被害者のPCをまったく気がつかれることなく感染」する「非常に高度な悪意のあるクライムウェア」であるとしている。
感染は、被害者が改ざんされた正規のサイトなどを訪れた際に、「ドライブバイ攻撃」を受けてMebrootというルートキットをダウンロードすることより始まる。改ざんされたサイトに潜んでいる悪意のある JavaScriptが、「ドライブバイ・サーバ」に置かれた Active Xやブラウザのプラグインに対するエクスプロイトをリクエスト実行し、Mebrootのインストーラをダウンロードする。エクスプロイトが成功しない場合は、被害者のPCに直接インストーラのダウンロードを試みる。このインストーラはファイル・マネージャー・プロセスにDLLを注入して、自分を隠す(システムからしてみると正規の行為のように見える)。そして、disk.sysを wrap するカーネル・ドライバをロードし、MBR を Mebroot で overwrite してしまう。
Mebroot の役割は、悪意のあるモジュールの管理だ。一度インストールされると、「中央司令部」から悪意のあるモジュールをダウンロードし、そのうちの一つが「Sinowal」というわけだ。ダウンロードされたモジュールは暗号化されて system32 のディレクトリに、既に存在する他のファイルと同じタイムスタンプで保管されるため、ユーザーに気がつかれにくい。Mebroot はその後、2時間ごとに「中央司令部」に HTTPリクエストで現在の状態を報告する。この連絡は、高度な Mebroot専用に作られた暗号化を施されているため、HTTPを傍受して平文化することが現時点では不可能となっている。
●ボットハーダー側からの情報が得られる
さて、今までボットネットの研究は、ボットネットのクライアントになり、クライアント側から「中央司令部」間との通信をモニターすることで行われていた。しかし、ほとんどのボットネットは、簡易化された IRC や HTTPサーバを「中央司令部」サーバとして使っているため、他のボットネットクライアントの動向や、実際にどのような個人情報を被害者の PCから盗んでいるか、また、ボットネットのネットワーク規模などは分からなかった。もちろん、「中央司令部」のドメインの DNSを改変することによって、中央管理サーバになりネットワーク全体を乗っ取ることも理論的には可能だが、ドメイン登録サービス会社の協力を得るのがほとんど不可能であった。
「Sinowal」ボットネットのクライアントが「中央司令部」と連絡をとる時は、「Domain Flux」と呼ばれる方法をとることが分かっている。「DomainFlux」とは、ボットネットのクライアントが独自に定期的にドメインのリストを作成し、そのリストにあるドメインに片っ端から連絡を取り、最初にきちんとした返答があったドメインを「中央司令部」として認識、これを定期的に繰り返すことである。
これに気がついた研究者たちは、ドメインのリストを作成するアルゴリズムから、ドメインのリストにリストアップされるであろうドメインを予測、その中から既にドメイン登録されてないものをピックアップしてこれを登録した。そして、「Sinowal」のプロトコルを解析し、「中央司令部」の“きちんとした返答”を分析、研究者たちが登録したドメインにボットネットのクライアントが連絡をとってきたときに“きちんとした返答”を行うことによって、ボットネットの「中央司令部」に10日間、ボットネットがアップデートを行うまでの期間、なりすますことができたのだ。
●今回の研究から得られたこと
モニタリングの結果わかったことは、まず、ボットネットに実際に感染しているPCと「中央司令部」に連絡をとってくる IPアドレスの数とが必ずしも一致しなかったことだ。10日間で研究者たちの「中央司令部」に連絡してきたIPの数が 124万7,642 だった一方、ボットネットのクライアントの数は18万2,800 だった。これは、一つのクライアントがIPを頻繁に変更すること(実際に10日間で694回もIPアドレスを転々としたホストが観測されている)や、NATが使われていることなどがある。つまり、IPアドレスの数だけでボットネットの規模を推測する場合よりも、実際の規模は小さいということだ。
また、ボットネットのクライアントになる被害者のほとんどが…
【執筆:米国 笠原利香】
【関連リンク】
カリフォルニア州大学サンタ・バーバーラ校のコンピュータ・サイエンス部
研究班のWebサイト
http://www.cs.ucsb.edu/~seclab/projects/torpig/
ホワイトペーパー「Your botnet is my botnet, analysis of botnet
takeover」
http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》
