過去 3 カ月間、シマンテックは年間に何十万というユーザーにマルウェアを送りつけているロシアの攻撃者を調べてきました。調査対象となっているのは Backdoor.Proxybox で、この調査によってブラックハット攻撃の全貌が明らかになっています。このボットネットの仕組みや規模について興味深い情報が得られるとともに、実際の作成者を特定できる情報にもたどり着きました。
プロキシサービス自体は目新しいものではなく、地理的に固定されたコンテンツにアクセスするためや、匿名のトラフィックをリレーするために使われます。proxybox.name では、プロキシ販売業者が世界中のプロキシサーバーに対するアクセス権を販売しています。フロントエンドの Web サイトからすれば、ロシアの正規プロキシサービスであるように見え、何千というプロキシのリスト全体に対するアクセス権が 1 カ月あたりわずか 40 ドルで売られています。これほど多くのサーバーに対するアクセス権を、これほど低価格で売ることができるのはなぜなのでしょうか。
図 1. Proxybox のメインの Web サイト(ロシア語から翻訳)
脅威のコンポーネント
シマンテックの調査は、まず Backdoor.Proxybox マルウェアのリバースエンジニアリングから始まりました。これは 2010 年の初めに最初に確認された脅威ですが、最近活動が盛んになっていることが判明しています。この脅威は、以下の 3 つのコンポーネントで構成されています。
- ドロッパー
- ペイロード
- ルートキット
ドロッパーは、ペイロードをサービスとしてコンピュータにインストールし、ペイロードの実行可能ファイルをシステムにコピーして、ルートキットをインストールします。ルートキットは、悪質なペイロードや関連するその他のファイルをすべて保護し、滞留時間を少しでも長くしようと試みます。このルートキットには、デバイススタックのファイルスキャンをすり抜ける新しい手法が実装されています。ペイロード自体は DLL です。コンピュータの起動時に実行されて低レベルのプロキシサービスとして機能し、感染したコンピュータを大規模なボットネットに組み込んでトラフィックの集中化に利用します。
脅威の解析
コンピュータが起動すると、ペイロードはハードコード化されているサーバーアドレスにアクセスし、自身を設定する一連の PHP ページを要求します。さらにバックアップコマンド & コントロールサーバーを設定し、接続速度をテストしたうえで、クライアント認証を設定します。コマンド & コントロールサーバーは、バックアップとして使うピアサーバーのリストを提供し、感染したコンピュータ上で速度チェックを実行してプロキシ認証のパスワードを割り当てます。コマンド & コントロールサーバーを解析したところ、ボットネットに関する統計とデータベースのログイン情報が記載されている公開の PHP ページも明らかになりました。
図 2. コマンド & コントロールサーバーから取得されたボットネット統計
図 3. コマンド & コントロールサーバーのデータベースログイン情報
過去数カ月にわたってコマンド & コントロールサーバーを監視してきた結果、ボットネットコントローラはオンラインのアクティブユーザー数を、常時 40,000 前後の規模に維持しようとしていることが推察されます。コントローラは拡散にいくつかの手段を使っており、Blackhole Web 悪用キットもそのひとつです。注目すべきなのは、各コマンド & コントロールサーバーが [http://]proxybox.name という URL でバックアップサーバーを持つボットネットクライアントの機能を果たすということです。これが、ボットネットへのアクセス権を販売している実際のフロントエンド Web サイトです(図 1)。この URL は、Antichat.ru などのアンダーグラウンドフォーラムの広告で見つかります。Antichat.ru は、シェルや悪用スクリプト、プロキシと VPN サービス、マルウェアのインストール、その他の不審なサービスが取り引きされているロシアのフォーラムです。
図 4. Antichat.ru に掲載されている Proxybox.name サービスの広告(ロシア語から翻訳)
ハッカーの正体
このユーザーによる広告には、疑わしい 4 つの Web サイトへのリンクがありますが、これはすべて同じ個人、独創的なロシアのハッカーが作成したサイトでした。プロキシへのアクセス機能を持つ Web サイト(proxybox.name)、VPN サービスを提供する Web サイト(vpnlab.ru)、プライベートなウイルス対策スキャンの Web サイト(avcheck.ru)、プロキシテストのサービス機能を持つ Web サイト(whoer.net)の 4 つで、これらがすべてプロキシとマルウェアの拡散に関与しています。また、4 つの Web サイトは静的な相互リンク広告でも結び付けられています。Web サイトの作成者は、Web サービスのユーザーに対して同じ ICQ サポート番号を提示しています。Web サイトのいくつかは金銭に対するサービスも扱っており、そこで使われている決済サービスは常に WebMoney、Liberty Reserve、RoboKassa です。
図 5. Vpnlab.ru のメインページ(ロシア語から翻訳)
シマンテックは、これらの Web サイトに関連付けられている支払いアカウントの調査に着手し、ウクライナ語の名前でロシアに住んでいる個人のものであることを突き止めました。ただし、シマンテックは現在、コマンド & コントロールサーバーに関係している国や地域の警察当局と協力態勢を敷いているため、この WebMoney アカウントについてこれ以上の詳細はここでは公開しません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。