シマンテックは、分散サービス拒否(DDoS)攻撃に使われる「Zemra」という新しいクライムウェアボットを確認しました。これは Backdoor.Zemra として検出されます。この脅威が、企業に対するサービス拒否攻撃を実行しており、恐喝目的に利用されていることが確認されたばかりです。Zemra がアンダーグラウンドフォーラムに初めて登場したのは 2012 年 5 月のことで、価格は 100 ユーロ(約 10,000 円)でした。
図 1. アンダーグラウンドフォーラムでの Zemra の広告
Zemra が Zeus や SpyEye など他のクライムウェアパックと類似しているのは、リモートサーバーにホストされているコマンド & コントロールパネルを使うという点です。そのため、侵入先のコンピュータにコマンドを発行してゲートウェイのように機能し、攻撃者の意のままに感染数やボット数を記録することが可能になります。
図 2. DDoS HTTP 攻撃のスケジュール設定
他のクライムウェアキットと同じく、Zemra の機能も多岐にわたっています。
- サーバーとクライアントの間における 256 ビットの DES 暗号化/復号
- DDoS 攻撃
- デバイスの監視
- バイナリファイルのダウンロードと実行
- インストールと、感染を確実にするチェック機能の常駐
- USB を通じた拡散
- 自己アップデート
- 自己アンインストール
- システム情報の収集
ただし、中心となる機能は、ユーザーが標的として選んだリモートコンピュータに対して DDoS 攻撃を実行することです。
Backdoor.Zemra は、コンピュータに感染すると、まず HTTP 経由(ポート 80)でホームに接続し、POST 要求を発行してハードウェア ID、現在のユーザーエージェント、権限の種別(管理者かどうか)、OS のバージョンを送信します。この POST 要求は gate.php によって解析され、情報が分割されて SQL データベースに格納されます。次に、感染したコンピュータのうちどれがオンラインでコマンドを受信可能か追跡します。
漏えいしたコードを調べた結果、このボットには次の 2 種類の DDoS 攻撃が実装されていることが判明しました。
1 種類目の HTTP フラッドは RAW ソケット接続を開きますが、応答を待たずに段階的にソケットを閉じる特別なオプション(SocketOptionName.DontLinger など)があります。クライアント側でソケットを閉じ、スリープ間隔を置いた後に新しい接続を開きます。
これは、複数の SYN を送信して多数の接続要求を行う SYN フラッドに類似しています。ソケットが閉じられているので、SYN-ACK を受信しても ACK は返信されません。そのため、サーバー側の TCB(Transmission Control Block)が SYN-RECEIVED 状態のままになってしまいます。
2 種類目の SYN フラッドは単純な SYN フラッド攻撃で、複数の connect() を呼び出し、標的のコンピュータに複数の SYN パケットを送信します。これを実行する目的は TCB 作成要求のバックログを作成することで、こうするとサーバーが浪費され、実際の要求に対してアクセスが拒否されます。
シマンテックは、この脅威の定義を Backdoor.Zemra という名前で追加しました。2012 年 6 月 25 日から有効になっています。このトロイの木馬による感染の危険性を少なくするために、シマンテックの最新の保護テクノロジをお使いいただき、最新のウイルス定義をインストールすることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。