cNotes 検索 一覧 カテゴリ

エストニアへのDDoS

Published: 2007/11/23

大規模なDDoSのニュースは年に1、2度耳にすることがある程度だが、実際には毎日大小さまざまなDDoSは発生し続けている。

半年前の話になるが、4/29〜5/10ごろエストニアの主要なサイトに対してDDoSが行われた。事前に攻撃ツールが配布され、複数のbotnetが利用されたということだが、このDDoSには日本のbotも利用されていた。

攻撃手法はICMP Floodで、日本のbotは、botnetによる攻撃命令およびProxyサーバーとして攻撃の踏み台に利用されていた。

 攻撃対象になったサイト
 
 www.mkm.ee 
 www.peaminister.ee
 www.riigikogu.ee www.sisemin.gov.ee
 www.valitsus.ee
 www.vm.ee
 www.agri.ee
 www.envir.ee
 www.fin.ee
 www.just.ee
 www.kul.ee
 www.mod.gov.ee
 www.pol.ee
 www.reform.ee
 www.sm.ee

このこと自体問題ではあるが、エストニア方面へのDDoSトラフィックが1年以上前から今現在に至るまで観測され続けていることのほうが問題ではないだろうか。

このDDoSは下記のようなMalwareに感染することで発生するもので、当初はbotの通信確認に用いられていたものではないかと思われるが、感染端末が増えることによりDDoSの効果が現れるようになり、亜種がでるたびにDDoSを目的に変えたのではないかと思われる量のトラフィックを送出するようになっている。

 「W32/Allaple-*」「W32.Rahack.*」 など
 
 DDoS関連の挙動
  ・ICMP flood
  ・F5(HTTP GET requests flood)
  ・SYN Flood(TCP443など)
 
 攻撃対象
    www.starman.ee
    www.if.ee 
    www.online.if.ee

今現在、攻撃の量はそれほど多くはないが、これらのMalwareに感染している端末は多く、運用中のHoneyPotにおいても常に捕獲され続けているものであるので、一般的に感染させられやすいMalwareのひとつではないかと思われる。

攻撃ツールを利用したり、botnetを利用するようなタイプのDDoSでは「特定の日」「サイトが落ちる」などの目的が終わればDDoSは終了してくれるが、終了契機を持たない自動攻撃型のMalwareは100%駆除されない限り攻撃は止まらないし、かといって感染端末を100%クリーンにすることは不可能だろう。単純でレガシーな感じ(blasterやnachiの匂い)はするものの最も厄介なDDoS手法ではないかと思う。

同じ問題をもつものとして、一時期話題になったAntinny関連のDDoS機能を持ったMalwareに感染した端末はいまだに多くDDoSも続いており、また運用中のHoneyPotではエストニア向け以外にも、目的は定かではないが感染すると特定のサイトへDDoSを行うMalwareを何種類か補足し続けている。 

 :

 :

 :

金銭目的とか高度な攻撃が増えている反面このような

「嫌われたら終わり」

的な単純なDDoSもいまだに多く厄介だ。

[カテゴリ:botnet観察日記]

by jyake