SCAN DISPATCH :セキュリティ企業がボットネットのシャットダウン作戦を展開
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
国際
海外情報
──
サイバー犯罪は世界中のセキュリティ企業によって研究され、山のようにホワイトペーパーが発表されている。
研究しつくされ、オペレーションの仔細が分かったサイバー犯罪であっても、国境を越えての警察間の協力が難しいこと、被害者の特定が難しいこと、実際の犯人の特定が難しいことなどが理由となり、法的処置が遂行されることは稀だ。スパムに使われているボットネットとなれば、金銭的被害の推定が難しく、ボットの数、スパムの数に比べて、実際に警察が取り締まる数は非常に少ない
一方、セキュリティ企業としてみれば、スパム対策用のプログラムやシステムをユーザや企業に売ることによって利益が出るのであり、ボットネットをシャットダウンできる情報と技術を保有していても、実際にボットネットをシャットダウンするインセンティブは小さいのかもしれない。
こうしたバックグラウンドがあるからこそ、2009年11月6日、ボットネット・シャットダウン作戦を展開したセキュリティ企業の成果には、ブログやコメント欄で世界中から感謝の声が集まったのも当然だろう。
この快挙を成し遂げたのは、大手老舗のセキュリティ企業ではなく、5年前に発足され、今年の7月にInformationWeek誌により、「今週のスタートアップ」に取り上げられている、小さなスタートアップ、カリフォルニアのFireEye社、だ。
FireEye社は、セキュリティ・アプライアンスを主要製品にしているため、ボットネットの動向には詳しい。ボットネットについて、どこの誰がこれをコントロールしているかなど緻密な研究を続けてきた。そのうち、一時期、世界中の3分の1のスパムを発信しているOzdok (別名 Mega-d)というボットネットに対して、FireEye社は以下のような事実を発見しており、この知識を基にボットネットのシャットダウンを行ったのだ。
FireEye社は従業員40人の小企業だ。同社は筆者のメールインタビューに対して今回のボット駆除作戦実施について「関係各社と協力すればセキュリティ企業がサイバー犯罪を阻止できるという良い見本になればよいと思い行った」と語った。
Ozdokは2007年から活躍してるスパム・ボットで、クライアントのマシンをトロイの木馬で汚染し、そのトロイの木馬がSVCHOST.EXEの新しいプロセスを作成、CreateRemoteThread() APIを使用してコードを実行することでボット化。そして、1時間に1万5千通のスパムを排出する。管制塔となるコマンド・アンド・コントロール(CnC)には、ポート80を使用したHTTPSトラフィックで通信をとる。
FireEye社の調査によれば、CoCのがあるISPは、LAYERED TECHNOLOGIES INC(TEXAS, USA)、NETWORK OPERATIONS CENTER INC(PENNSYLVANIA, USA)、VPLS INC. D/B/A KRYPT TECHNOLOGIES(CALIFORNIA, USA)、SISTEMNET TELEKOMUNIKASYON VE BILGI TEK. TIC. LTD. STI(TURKEY)、GODADDY.COM INC(ARIZONA, USA)、NOZONE INC(CHICAGO, USA)、FDCSERVERS.NET(ILLINOIS, USA)、SENTRIS NETWORK LLC(WASHINGTON, USA)、ADPERFORM(TEL AVIV, ISRAEL)ということが分かっている。上記、IsraelとTurkyの2つを除き、そのほとんどが米国にある(ボットネットとしては珍しい)。
ボットがCnCと通信するのには、IPアドレスでなく、ボットとなったクライアントのマシンにダウンロードされるリストにあるドメインネームを使う。リスト上の最初のドメイン名が使えない場合は、次のドメイン名と、順次バックアップを使うようになっている。マルウェア側にあるのはドメイン名のリストだけでなく、カスタムDNSサーバのリストも入っており、それぞれのドメインにつき、まずホストのDNSサーバで解決を試み、これがうまくいかない場合は次にリストにあるNSサーバーの使用を試みる。そして、これがうまくいかない場合は次のドメインを使う、というように、ドメインネームの解決についてもバックアップが用意されている。
万が一ドメインがドメイン登録サービス側でシャットダウンされた場合には、上記のカスタムDNSサーバーが新しいCnCのホストを用意する。マルウェア側にはなんと、日時をインプットとしてドメインネームを生成するアルゴリズムが装備されており、上記のバックアップが全て不成功の場合、毎日1つ、ランダムなドメインを生成してそれをCnCとして連絡をとる。
それだけでなく、OzdokはFireEyeの研究者がBotnetWebと呼んでいる複数のボットネットが協力しあうネットワークを形成しており、「実際にOzdokは、例えばTrojan.Pipteaなどのマルウェアをダウンロードすることが観察されている」そうだ。
このように、いくつものフェイルセーフを装備しているため、Ozdokは長いこと「活躍」しているボットネットとなっており、その分これをシャットダウンするのも難しいわけだ。
FireEye社が行った作戦だが、まず…
【執筆:米国 笠原利香】
【関連リンク】
FireEye社ブログ
http://blog.fireeye.com/research/2009/11/smashing-the-ozdok.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》