Endpoint Protection

 View Only

OSX.Flashback - ボットネットが利益を上げるための手口 

May 18, 2012 01:15 AM

OSX.Flashback ボットネットの解析を進めていくにつれ、この手のボットネットの収益性はかなり高いことが明らかになりつつあります。以前の記事では、感染したコンピュータ上で広告を表示することによって、OSX.Flashback が作成者の儲けにつながっていることを指摘しましたが、その後、この攻撃で表示された広告の件数と、その広告からもたらされた金額について、さらに具体的な実態がわかってきました。

シマンテックの解析によれば、4 月の最初からの 3 週間でこのボットネットは侵入先のコンピュータ上で 1,000 万件を超える広告を表示しましたが、実際にリンクをクリックして広告を目にしたユーザーはごく一部であり、およそ 400,000 件の広告がクリックされました。この 3 週間のクリック数から攻撃者は 14,000 ドルを稼いだことになりますが、稼ぐことと実際にその金額を手にすることは別であり、回収に至るまでの道のりはかなり困難です。PPC(ペイパークリック)プロバイダの多くは詐欺対策の手段を講じており、支払い前のアフィリエイト検証プロセスも実施しているからです。幸い、今回の攻撃者は受け取りに必要な手順を完了できなかったようです。

Flashback の広告クリック処理コンポーネントが実際にインストールされたのは、感染した 600,000 台以上のコンピュータのうち約 10,000 台にすぎないと推測されます。言い換えれば、ボットネット全体の 2 % たらずを利用するだけでも、攻撃者は 3 週間で 14,000 ドルを稼いだことになるわけで、もしボットネットすべてを利用できたとしたら、1 年間で何百万ドルという稼ぎになる可能性を秘めています。

この規模のボットネットを操る者にとって、選択肢はさまざまです。最近は、偽の広告を使って攻撃者の利益を生み出すボットネットが数多く登場しており、Flashback もまさにそのケースです。Flashback の運用者はボットネットを活用して偽の広告クリックにユーザーを誘導しています。クリック詐欺とも呼ばれる手口です。

シマンテックは、Flashback のコマンド & コントロール(C&C)サーバーから送信されるトラフィックを解析して、攻撃者が使うリダイレクトを追跡することに成功しました。感染したコンピュータは、ユーザーの入力した検索キーワードを攻撃者に渡します。攻撃者は各種のペイパークリック(PPC)サービスに接続し、PPC プロバイダからの広告を侵入先コンピュータにルーティングします。その過程で、PPC プロバイダからこの広告に対する報酬を受け取ります。

感染したコンピュータに送信されるトラフィックのパターンも特定できましたが、そこから、Flashback の運用者には PPC プロバイダについて多少の好みがあることもわかりました。実際、感染したコンピュータに送信されている広告の 98% 以上は、同じ PPC プロバイダから発信されていると見られます。このような場合、攻撃者は、ユーザーの目に触れなかった可能性がある広告、ユーザーが検索した内容とは無関係かもしれない広告に対して報酬を受け取るという形で、ユーザーと PPC プロバイダの両方をうまく利用していると言えます。
 

プロセス - 支払いを受け取るまで

OSX.Flashback のボットマスターは、Google の検索結果を乗っ取り、独自の PPC 検索結果を表示してコンバージョンを達成させます。メインストリーム以外の PPC の分野で、最も利益につながっているのは医薬品、債務整理、自動車保険に関するキーワードです。一般的に、yarn(紡ぎ糸)、glue(接着剤)、silly putty(シリーパテ)といった検索頻度の低いキーワードは、安価で利用できますが、逆に得られる利益も大きくありません。

Flashback の作成者は、ユーザーが実際に検索したのとは違うキーワードに対して広告を送信する機会もあったはずですが、この手は使いませんでした。ユーザーが「toys(おもちゃ)」を検索すれば、玩具に関する広告が表示されます。これは、ペイパークリックプロバイダが実施している監査プログラムをすり抜けるためと思われます。たとえば Google で「toys」を検索すると、OSX.Flashback によって乗っ取られた結果が表示され、C&C サーバーはエンコードされた以下の URL を返信します。

[http://][IP アドレス]/click.php?id=oilZLmquP5Xbg7U282f16g_6-uBw5r_xrTrfouhLHbOkwDfu0QZN4X21K6rK98QROh[削除済み]

この URL で、ユーザーは元の検索語「toys」に関連する以下の URL にリダイレクトされます。

[http://][削除済み]search.net/?login=[削除済み]&search=toys

感染したコンピュータの総数 600,000 台以上に比べれば、リダイレクトされるのはほんの一部ですが、それでも攻撃者は 3 週間で 1,000 万以上の広告を表示し、その間に 14,000 ドルを稼ぎ出したのです。最終的にペイロードをインストールさせる成功率が今より高ければ、この額はさらに大きくなるはずであり、攻撃者にとっては収益性の高いモデルとなります。ペイパークリック型のボットネットというアイデア自体は、Windows では数年前から確認されており、けっして新しいものではありませんが、Mac の市場シェアが高くなってくれば、Mac に関連する同類のボットネットは今後さらに増えてくるでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.