SCAN DISPATCH : 研究者集団、逆エクスプロイトでボットネット本体の乗っ取りに成功 | ScanNetSecurity
2021.09.25(土)

SCAN DISPATCH : 研究者集団、逆エクスプロイトでボットネット本体の乗っ取りに成功

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

●ボットネットを研究者が10日間乗っ取る

 カリフォルニア州大学サンタ・バーバーラ校のコンピュータ・サイエンス部の研究者らが、「Sinowal」ボットネットの“母船”である「中央司令部」を10日間に渡って“乗っ取り”、その動向を仔細に観察してホワイトペーパーにまとめた。現役のボットネットを“母船”側からリアルタイムでモニターして集めた70GBの情報は、外部からの観測では得られない貴重なものだ。

 「Sinowal」は別名「Torpig」とも呼ばれているトロイの木馬のボットネットだ。被害者のPCからオンライン銀行口座、クレジットカードなどの情報を記録し、これを「中央司令部」(command & control)にアップロードする。「Sinowal」は、被害者から情報を盗む技術にしろ、ミラーリングを含めた複雑な構造のインフラにしろ、非常に“できの良い”ボットネットであり、2006年の2月から3年以上も活動し続けている他に類を見ないものだ。RSAセキュリティ社の RSA Fraud Action Research Lab も「被害者のPCをまったく気がつかれることなく感染」する「非常に高度な悪意のあるクライムウェア」であるとしている。

 感染は、被害者が改ざんされた正規のサイトなどを訪れた際に、「ドライブバイ攻撃」を受けてMebrootというルートキットをダウンロードすることより始まる。改ざんされたサイトに潜んでいる悪意のある JavaScriptが、「ドライブバイ・サーバ」に置かれた Active Xやブラウザのプラグインに対するエクスプロイトをリクエスト実行し、Mebrootのインストーラをダウンロードする。エクスプロイトが成功しない場合は、被害者のPCに直接インストーラのダウンロードを試みる。このインストーラはファイル・マネージャー・プロセスにDLLを注入して、自分を隠す(システムからしてみると正規の行為のように見える)。そして、disk.sysを wrap するカーネル・ドライバをロードし、MBR を Mebroot で overwrite してしまう。

 Mebroot の役割は、悪意のあるモジュールの管理だ。一度インストールされると、「中央司令部」から悪意のあるモジュールをダウンロードし、そのうちの一つが「Sinowal」というわけだ。ダウンロードされたモジュールは暗号化されて system32 のディレクトリに、既に存在する他のファイルと同じタイムスタンプで保管されるため、ユーザーに気がつかれにくい。Mebroot はその後、2時間ごとに「中央司令部」に HTTPリクエストで現在の状態を報告する。この連絡は、高度な Mebroot専用に作られた暗号化を施されているため、HTTPを傍受して平文化することが現時点では不可能となっている。

●ボットハーダー側からの情報が得られる

 さて、今までボットネットの研究は、ボットネットのクライアントになり、クライアント側から「中央司令部」間との通信をモニターすることで行われていた。しかし、ほとんどのボットネットは、簡易化された IRC や HTTPサーバを「中央司令部」サーバとして使っているため、他のボットネットクライアントの動向や、実際にどのような個人情報を被害者の PCから盗んでいるか、また、ボットネットのネットワーク規模などは分からなかった。もちろん、「中央司令部」のドメインの DNSを改変することによって、中央管理サーバになりネットワーク全体を乗っ取ることも理論的には可能だが、ドメイン登録サービス会社の協力を得るのがほとんど不可能であった。

 「Sinowal」ボットネットのクライアントが「中央司令部」と連絡をとる時は、「Domain Flux」と呼ばれる方法をとることが分かっている。「DomainFlux」とは、ボットネットのクライアントが独自に定期的にドメインのリストを作成し、そのリストにあるドメインに片っ端から連絡を取り、最初にきちんとした返答があったドメインを「中央司令部」として認識、これを定期的に繰り返すことである。

 これに気がついた研究者たちは、ドメインのリストを作成するアルゴリズムから、ドメインのリストにリストアップされるであろうドメインを予測、その中から既にドメイン登録されてないものをピックアップしてこれを登録した。そして、「Sinowal」のプロトコルを解析し、「中央司令部」の“きちんとした返答”を分析、研究者たちが登録したドメインにボットネットのクライアントが連絡をとってきたときに“きちんとした返答”を行うことによって、ボットネットの「中央司令部」に10日間、ボットネットがアップデートを行うまでの期間、なりすますことができたのだ。

●今回の研究から得られたこと

 モニタリングの結果わかったことは、まず、ボットネットに実際に感染しているPCと「中央司令部」に連絡をとってくる IPアドレスの数とが必ずしも一致しなかったことだ。10日間で研究者たちの「中央司令部」に連絡してきたIPの数が 124万7,642 だった一方、ボットネットのクライアントの数は18万2,800 だった。これは、一つのクライアントがIPを頻繁に変更すること(実際に10日間で694回もIPアドレスを転々としたホストが観測されている)や、NATが使われていることなどがある。つまり、IPアドレスの数だけでボットネットの規模を推測する場合よりも、実際の規模は小さいということだ。

 また、ボットネットのクライアントになる被害者のほとんどが…

【執筆:米国 笠原利香】


【関連リンク】
カリフォルニア州大学サンタ・バーバーラ校のコンピュータ・サイエンス部
研究班のWebサイト
http://www.cs.ucsb.edu/~seclab/projects/torpig/
ホワイトペーパー「Your botnet is my botnet, analysis of botnet
takeover」
http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

アクセスランキング

  1. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  2. 静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に

    静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に

  3. 新生銀行グループのアプラス、約48万件のカード会員向けログイン情報を委託先2社に誤って提供

    新生銀行グループのアプラス、約48万件のカード会員向けログイン情報を委託先2社に誤って提供

  4. IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

    IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

  5. 山口県でスーパーマーケット展開する丸久の委託先ジーアールに不正アクセス、25,693件の個人情報流出

    山口県でスーパーマーケット展開する丸久の委託先ジーアールに不正アクセス、25,693件の個人情報流出

  6. オンラインスーパーを管理する東芝テック 委託先ジーアール社に不正アクセス、顧客情報6,337件流出

    オンラインスーパーを管理する東芝テック 委託先ジーアール社に不正アクセス、顧客情報6,337件流出

  7. ソフトウェアベンダの不手際トップ10、第1位はアクセスコントロールの不備 ~ OWASP発表

    ソフトウェアベンダの不手際トップ10、第1位はアクセスコントロールの不備 ~ OWASP発表

  8. JPRS、Windows DNSの複数の脆弱性情報を公開

    JPRS、Windows DNSの複数の脆弱性情報を公開

  9. 学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出

    学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出

  10. 新たに倉敷市でも発覚したオリエンタルコンサルタンツグループへのランサムウェア攻撃、登記簿情報も流出の可能性

    新たに倉敷市でも発覚したオリエンタルコンサルタンツグループへのランサムウェア攻撃、登記簿情報も流出の可能性

ランキングをもっと見る