cNotes 検索 一覧 カテゴリ

大量に作り出される踏み台サーバー

Published: 2007/09/30

 初期感染時には小さなdownloaderプログラム、もしくは単機能なbotが実行され、その後多段階に追加プログラムのdownloadを行い目的の隠蔽と解析の困難化を狙った感染手法は2005年ごろから多く観測されていたが、2006年末頃からプロキシーサーバーを大量に作り出すことを狙ったものが非常に多くなっており今現在もその影響は大きい。

 これらはTrojan.Ranky等の亜種によるものがもっとも多く、それ以外にも数種類のMalwareが用いられているようだ。またプロキシーサーバーの起動ポート番号を一定期間毎に変更するためだけに専用のbotnetが利用されている場合もある。

 グラフは複数のネットワークに設置されているHoneyPotが感染後1時間以内にプロキシーサーバー化する割合を調査した例であり、多いときには70%のHoneyPotがプロキシーサーバー化している。

 また、その挙動を継続して観測したところ、これらの端末の情報(IPアドレスとポート番号)は感染後すぐに、とある管理サーバーに集約され、リスト化されたものが流通するとともに、10分程度で実際にspam送信の踏み台として利用され始める。感染端末を踏み台として送出されるトラフィックの90%はspamであり、その他はDDoSや攻撃者がツールを利用する際の送信元隠蔽など世界中の攻撃者にさまざまな目的で利用される。

 実際spammerとして認識されたり、black listに載せられるIPアドレスやOP25Bによってブロックされるspamの送信源やDDoSの発生源の多くがこういったプロキシーサーバー化した端末だろう。ブロードバンドルータ等でのフィルタリングを適切に行っていれば問題は回避される可能性が高いが、無防備にインターネットに接続される端末は相変わらず多く、なくなることはないだろうということはここ数年のインターネット上でのセキュリティ問題からも明らかだろう。攻撃者たちはspam対策をはじめさまざまなセキュリティ対策をカワス手段として、あるいは最近ではビジネスとしてのspam送信システムの維持のためにこういったリソースを利用して大量のプロキシサーバーを世界中に作り出しているのかもしれない。

[カテゴリ:botnet観察日記]

by jyake