UnderForge of Lack

ポツポツと質問が舞い込んでくるようになりました。

普段のIRCでは
「しらんわｗ」
みたいな地の対応をしてるんですが、ちょっと真面目に・・・

といっても、Botnetを本当に構成しているのかどうかは未確定ですので、落ち着いて行動してくださいますようお願いします。

----------
Botnet

これじゃよくわかりませんよね

ボットとは？

総務省のサイトに書いてあるボットは、いわいる旧来のタイプで、DDoSを行うことを主目的としていました。

----------
しかし、ここ最近は様相が変わってきています。
Black Hat SEO
という用語があります。

SEO～サーチエンジン最適化～の旧来的な手法は SEO SPAM と呼ばれるクエリの大量発行でした。当然ながら、単独あるいは一群のIPからの発行クエリが集中していることをサーチエンジン側が感知すると、SEO SPAM として順位を落とされてしまうようになり、すぐに廃れてしまいました。しかし、不特定多数の広範なIP群から一斉に検索クエリが発行されればどうなるでしょう？
FaceBookフィッシングの際に悪用された BLACK HAT SEOの例
まさにこうしたことが可能になってしまいます。

----------
少し前の zlkon では、この応用（より悪用）として BLACK SEO SERP(Search Engine Result Page) と呼ばれる 検索結果改ざんの手法を使用していたと見られています（Malware Manipulating Google SERPs参照）。感染したシステムは「何を検索しても」マルウェアによって「定義された」検索結果を返すようになり、不審に思いつつもその検索結果をクリックしてしまうようになったと解析されています。
また、感染したサイトは自分の登録しているサーチエンジンに対して頻繁に PING を撃つようになり、（心ならずも）検索結果が上昇するという皮肉な結果になっていました（そのことによって、さらに感染者を増やす結果になってしまいましたが・・・・・・）。

さて、問題の gumblarですが、これは更に C&C(Command & Control : BotのPuppet Masterからの命令受諾) 能力を持つようになったとScanSafeが指摘しています（参照：Google SERPs Redirections Turn to Bots）。zlkon型では陥落した後、ID/PAssword の送信や、SEO SPAM 発行などの「定型業務」は行っていたものの、BOT Master側の指示を受けるのかどうかは「？」でした。少なくとも、当初の解析結果や、ビヘイビア・チェックでもそのような報告はありませんでした。もっとも、単に解析が不十分だった可能性もあります。

そして Gumblar によって散布された Malwareは IRCもしくはそれに類するものによるコマンド待機を行っていることが確認されたため、感染PCは、BOT C&Cの 命令に従ってしまう可能性があります。最悪のケースとしては、PCがBOT C&C を受け自動的にマルウェアを定期的にアップデートし、待機IPを変更し、場合によっては RootKitを勝手にインストールしてしまうかもしれません。また、現在の主流となっている P2P クロス待ち受け型 C&C を使用されたら、手がつけられなくなります（参考：The DOWNAD/Conficker Jigsaw Puzzle）。

そんなPCは、もう自分のものではなく BOT 傀儡師の意に従って動いているゾンビです。

----------
今回はまだ ScanSafeの解析と、 ThreatExpertのビヘイビアチェックのみの報告ですので、大手セキュベンダーの解析を待ちたいのですが、もし本当にそんなタチの悪いものだった場合、パニックに陥らないために早めに予防策を取っておきましょう。

Adobe Flash Player のアップデート
Adobe Acrobat Reader のアップデート
NoScriptの導入（Firefoxの導入も含めて）
危険IPのブロック（Firewall登録／IPベースのブロッカーの導入）
Adobe Acrobat Readerの
JavaScript OFF

----------
参考：
Pakes.kmm
以前発見された "78.109.29.112:2111"を C&C とするボットネットの散布ファイル

digiwet.dll
78.109.29.112:2111 BotNet の散布ファイル（と思われる）

Web site compromised?
2009.05.01 Google に寄せられた挙動解析・・・ Anubis のものと一致する点が多い

念を押しておきますが、あくまでも類推に過ぎません。

----------
参考２：Botnetwork
What a Botnet Looks Like
Botnetがどんなつながりを持っているのか、個人が追跡調査した結果・・・

恐ろしい

---------
ひとりごと：

ヨシ、赤い部分が無かった（笑）

This entry was posted on 日曜日, 5 月 10th, 2009 at 6:50 PM and is filed under RiskHedge, knowledge, security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.