Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

入手しやすくなったボットネット

Created: 21 Dec 2012 01:58:32 GMT • Translations available: English
Val S's picture
0 0 Votes
Login to vote

ほんの少し前まで、運用者として独自のボットネットを始めたいと思ったら、該当するコミュニティに参加するか、テクニックを独習するのが相場でした。それなりのコミュニティに出入りしていれば、教えを受けることも初心者用のドキュメントを手に入れることもできるうえ、自身が独創性にあふれ、十分な時間とスキルを持っていれば、独自のボットネットをゼロから作ることもできるからです。

では、必要なスキルセットがなく、適切なコミュニティにも参加していなかった場合はどうなるでしょうか。何事でも同じですが、お金を払って他人の力を借りるという方法があります。以下に挙げるようなクライムウェアキットが、インターネット上の至るところで販売されています。クライムウェアを横行させている点や法的な問題なども含めたさまざまな理由から、そのような形で販売されている商品を合法的とは断定できません。商品説明が不正確(古いバージョンを新しいバージョンと宣伝している、など)だったり、価格が市場相場から見て適正でなかったりと、なかには詐欺まがいのケースもあります。

ここまで読んできて、完全に非合法な商品をおおっぴらに宣伝したり売りつけたりすることがどうして可能なのか、と疑問に思われる方も多いことでしょう。このような取引はアンダーグラウンド、あるいは「深層 Web」で行われる場合がほとんどですが、ときとして一般の Web でも見かけます。また、お互いに見知ったユーザーしかいない場で取引されるのが普通ですが、一般の商品と並んで販売されているサイトも存在します。

すべて詐欺なのではないか、そんな疑問もあるかもしれません。確かに、クライムウェアキットの販売業者の多くは手っ取り早い儲けを狙うものですが、以下に挙げるサイトにはフィードバックシステムが用意されています。オークションや売買コミュニティの Web サイトと同じように、フィードバックで悪評が広がるので、詐欺行為は長続きせず、長期的に見れば儲けにもなりません。ただし、レビュー欄の評価は偽アカウントや仲間うちから寄せられている場合もあります。

以下のサイトに遭遇した人はたいてい、デザインの優れたインターフェースやプロらしさに驚くことでしょう。違法の品目だけでなく、いろいろと目を引くカテゴリが並んでいます。従来のアンダーグラウンドフォーラムで見られたような販売方法(プライベートメッセージを利用するなど)とは違い、このサイトは各種の非合法商品を求めるユーザーの声にも堂々と応じています。ここでは、「Services - Hacking(サービス - ハッキング)」というセクションに並んでいる品目に注目してみましょう。

図 1. 為替市場を確認するインターフェース

以下に挙げたスクリーンショットは、「Zeus Fully Setup Botnet + Bulletproof Hosting(Zeus ボットネットの完全セットアップと堅固なホスティング)」を宣伝している販売業者の例です。ご覧のとおり、見かけはいかにもそれらしく、正規の電子商取引サイトやオークションサイトにも劣らないインターフェースです。

図 2. 販売中の Zeus ボットネット

マニュアルからホスティングサービス、ドメインまで込みになった完全なパッケージ商品が 23.10536 BTC(Bitcoin)、スクリーンショット取得時点の相場にして 250 米ドルで販売されています。

この Zeus 販売業者は、サービスの購入意欲をそそるために、以下のようなサポートもすべて提供すると説明しています。

  • ソースコード
  • バイナリ
  • ビルダー
  • ユーザーガイド
  • コントロールパネル

次に挙げる例では、質問セクションが用意され、製品について販売業者に問い合わせることができます。販売業者からの回答には、この Zeus は旧バージョンであり、1.2.7.11 がすでに公開されていると書かれています。

図 3. 購入前に質問を入力できるセクション

次の販売業者は、SpyEye を売っています。

図 4. 販売中の Spyeye ボットネット

図 5. 販売業者のプロフィール

信頼できる多くの電子商取引サイトと同様、この販売業者もプロフィールページを持っています。簡単な説明も添えてあり、もっともらしい理由を挙げて商品を購入させようと工夫を凝らしています。

All my files are 100% virus safe and checked at VIRUSTOTAL.com
(当方のファイルはすべて、100% ウイルス対策済みであり、VIRUSTOTAL.com でチェック済みです)

I am professional hacker and would never be stupid try to contaminate my customers, because it is script kiddie very ridiculous tek.  I definitively don’t need to lose my time.  I am elite attacking big companies, datacenters, goverments and high skill targets.  Who attacks PC-user are kiddies.
(当方、プロのハッカーにつき、お客様のコンピュータに感染するようなバカな真似はいたしません。スクリプトキディやヘボな技術屋ではないので、そんな時間のムダはしません。大企業やデータセンター、政府、スキルの高い標的だけを狙う、それがプロとしての矜持です。PC レベルのユーザーはご安心ください)

以下の販売業者が宣伝しているのは Citadel ですが、これは偽物だろうとシマンテックは考えています。Citadel はロシアのアンダーグラウンドフォーラムで販売されていますが、購入を希望する場合には誰かの紹介が必要であるという厳格な保証制度をとっているからです。今年の初めには、Citadel ライセンス契約のコピーが出回りましたが、その中でも Citadel はロシア語圏の市場のみを対象としており、Citadel の単発ビルドの再販は禁止されていると記載されていました。価格が市場相場より低い点にも要注目です。

図 6. Citadel ボットネットの偽広告

ソフトウェアが販売されているのは、アンダーグラウンドの市場だけとは限りません。以下の例は、正規のデジタルダウンロード版を Web サイトでオープンに販売しているものです。

図 7. 正規のダウンロードサイトで宣伝されている Zeus

次のスクリーンショットも同じ販売業者のものですが、こちらは FUD(完全に検出不可)版の Zeus です。

図 8. 正規のダウンロードサイトで販売されている FUD 版の Zeus

ここで特に注目すべき点は、この販売業者が今までの例で見られた他の販売業者とは違うということです。[About this item(この商品について)]フィールドに、商品のスクリーンショットと、被害者の銀行口座情報を示した実際のスクリーンショットへのリンクが掲載されています。もちろんこれは、検討中の見込み客に購入を促すためですが、おそらくはインターネット上のどこかから取得されたか、販売業者自身からの情報だろうと考えられます。以下に示すのは、このスクリーンショットを一部加工したものです。

図 9. 被害者の銀行口座情報のスクリーンショット

以上の例からは、匿名のクライムウェアキット市場について興味深い洞察を得ることができます。従来、このようなソフトウェアを購入するには専用のコミュニティに所属しなければなりませんでしたが、それがもっと簡単になりつつあるということです。ここでは「購入者の自己責任」という論理が明記されていますが、プロでも素人でも、こうした商品を購入する意欲的な犯罪者はまったく意に介しません。詐欺に引っかかってしまったとしても、それは必要経費のようなもので、また次の商品を探すだけです。どれだけ詐欺が横行していようと、販売業者と犯罪者のどちらの立場でも、誰かが正規の商品を売って収益を上げなければならないと推測されます。理屈から言って、合法的な品目と同様に、作成者は利益を得るためにクライムウェアキットをできるだけ広範囲に広めたいはずと考えるほうが自然です(Citadel の作成者のような例外はありますが)。

考察:

  1. オークションや電子商取引のモデルから考えると、仮に正規品だとしても、クライムウェアは最新バージョンではない可能性があります。直接のパッケージソースはメンバー制のフォーラムで販売されるのが普通です。
  2. 説明が不正確または欠落していることから考えると、このようなバージョンはインターネット上の随所に、再バンドルされた形で見つかる可能性があります。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。