Video Screencast Help
Security Response

Zeus ボットネットの進化

Created: 22 Oct 2010 11:24:49 GMT • Translations available: English
Shunichi Imano's picture
0 0 Votes
Login to vote

Zbot(別名 Zeus ボットネット)はかなり以前から存在し続けており、「ポットの王様(King of Bots)」と呼ばれています。Zbot はこれまで世界中の何百万台ものコンピュータに感染してきました。アンダーグラウンドのコミュニティでは、Zbot 構築キットが売られており、広く流通しています。また、その他のボットネットキットも売られており、Zbot の売人を挑発しています。こうした状況から、犯罪者クライアントのニーズを満たして、ライバルに抜きん出て「ボットの王様」の座を死守するためには、Zbot の作成者たちは、構築キットを更新していかざるを得ません。どうやら、その結果生まれたのが、最近見つかったサンプルであり、シマンテックでは Trojan.Zbot.B および Trojan.Zbot.B!inf として検出します。

新しい Zbot の最も際立った機能はドメイン生成アルゴリズムです。これについては同僚の板橋一正氏がすでにブログに書いていますが、このメカニズムを簡単に説明します。

Zbot は毎日、1,020 のドメインが掲載された新しいリストを循環し、ホームを呼び出して、どのドメインがライブの C&C サーバーをホストしているのかをチェックします。Trojan.Zbot.B!inf の場合は、ランダムにドメインへの接続を試みて、いったんファイルがダウンロードされて実行されるとそこでチェックを停止します。セキュリティの研究者が、Zbot.B によって使用されるドメインを前もって登録し、ボットの活動について学習します。Zbot によって採られているこの戦略は、おそらく、事前に登録されているドメインが損なわれる可能性を低くするためだと考えられます。

思いつく疑問のひとつに、この方向性が Zbot の背後にいる元のギャングによって追加されたものなのか、それともキットの再販者によって独自に追加されたものなのかということがあります。この問題の答えはまだ見つかっていません。Zbot.B がルックアップ要求を生成すると、そのデータと、特定のハードコードされたダブルワード値との排他的論理和(XOR)が取られます。これまでのところ、複数のサンプルを見る限りでは、ハードコードされた DWORD 値が確認されているのはひとつだけです。

Zbot.B および Zbot.B!inf によってダウンロードされた各ファイルには署名があり、この脅威に埋め込まれている公開鍵によって署名が検証されると、脅威はダウンロードされたファイルだけを実行します。このため、異なる構築キットで作成された Zbot.B マルウェアはいずれもその独自ファイル(つまりそれぞれの Zbot クライアント)だけを確実に実行することになります。これは、新しい Zbot ボットネットによって取り入れられている新しい保護メカニズムで、「Kill Zeus」機能を備えた SpyEye ツールキットのいくつかのバージョンに対処するものだと思われます。SpyEye ツールキットに関する詳しい説明は、2 月に投稿したブログをお読みください。

 

 

キットが売られているとしたら、脅威によって使用される DWORD 値と公開鍵は、販売キットごとに異なるはずだと推測するのは理にかなっています。シマンテックでは、ひとつの DWORD 値と公開鍵しか確認していないので、これは、その攻撃がテスト実行であることを示しているのかもしれません。

保護メカニズムという観点では、Zbot は、Trojan.Zbot.B inf として検出される .exe ファイルに感染し(注目すべきは感染が非常にシンプルで、ポリモーフィック型でないことです)、感染ファイルは Trojan.Zbot.B の再パックバージョンをダウンロードします。こうすることで、攻撃先のコンピュータ上で実行している Trojan.Zbot.B が削除されたとしても、Trojan.Zbot.B!inf が別のコピーをダウンロードするので、コンピュータは感染状態を抜け出すことができなくなります。どの会社にとってもビジネスの継続性は何よりも大切なものですが、目的が金銭的な動機である限り、Zbot のクライアントも例外ではありません。

2、3週間前に、Zbot オペレーションに関連して、米国およびヨーロッパの司法当局によって、Operation Trident Breach と呼ばれる協調的な逮捕劇がありました。FBI の Web サイトに掲載されている発表によると、米国、オランダ、ウクライナ、イギリスの当局は Zbot 関係者の一斉逮捕に踏み切ったとのことです。しかし、Zbot オペレーションを撲滅するには、今回の逮捕では十分ではなく、撲滅にはまだ程遠いものと思われます。下の地図をご覧ください。これはシマンテックでの調査中に作成したものですが、逮捕を執行した地域のほとんどでまだアクティブな感染の兆候が見られます。

 

ボットの活動については注意深く監視を続け、重大な動きが確認された場合は続報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。