Asprox botnet
Published: 2008/07/23
create:2008/7/22
最近、fast-flux、double-fluxだけではなくhydrafluxという言葉ができてるんですね。ただまぁ、fastflux,doublefluxと同じで、別に目新しい話ではなく、昔からある手法に最近誰かが命名しただけですが。
- fast-flux
- Aレコードの問い合わせ結果が複数応答され、そのIPアドレがスランダムに変わる。(DNSラウンドロビンとほぼ同じ)
- double-flux
- fast-flux+その際利用するNSレコードのIPアドレスもランダムに変更になる。
- hydra-flux
- fast-flux、double-flux構造で接続したサーバーがさらなるdoorwayサーバーで、そこからさらにランダムなサーバーに接続される。
といった感じですかね。
しかし、クロールしていろいろ調べたとしてもこれだけ複雑な構造で最終的にたどりつくサイトも結局ゾンビPCの集合体ということになると無力感だけが残りますねぇ。中継NWも最後のサイトもころころ入れ替わるゾンビPCの集合体ですから得られる情報の賞味期限は非常に短い。そのうえコンテンツまで数時間で更新するものまであるわけですから。クロールという手法もすでに時代遅れですね。
update:2007/7/23
by jyake
create:2008/7/22
cashtransfers.tkとかcashtransferz.comで有名な最近流行のボットネット?です。若干ボットネット呼ぶのに違和感を覚えますが、今の時代に適応した形態のボットネットと捉えることができるでしょう。
SQLインジェクションと同じ手法でお仲間はざくざく見つかります。(中にはボットネットの形態?をとっていないものもあります。)
ほんの一部ですが、たとえばこんなのがあります。
tertad.mobi porttw.mobi lang85.tk sid57.tk 8tk.tk toji.tk shot.tk q-ik.tk mi51.tk www.adwadb.mobi www.adwbn.ru www.adwnetw.com www.allocbn.mobi www.appdad.com www.ausadd.com www.ausbnr.com www.bnsdrv.com www.browsad.com www.butdrv.com www.canclvr.com www.catdbw.mobi www.cdrpoex.com www.cliprts.com www.destbnp.com www.gitporg.com www.hdrcom.com www.iogp.ru www.kc43.ru www.lokriet.com www.loopadd.com www.mainadt.com www.mainbvd.com www.movaddw.com www.porttw.mobi www.portwbr.com www.sslwer.ru www.stiwdd.com www.tctcow.com www.tertad.mobi www.testwvr.com www.ucomddv.com www.usaadp.com www.usabnr.com
DNSの応答を見てみると典型的なdouble-fluxのボットネットです。
DNSの応答むちゃくちゃ長いです。
;; ANSWER SECTION: sid57.tk. 546 IN A 76.106.57.57 sid57.tk. 546 IN A 96.33.128.97 sid57.tk. 546 IN A 65.82.122.137 sid57.tk. 546 IN A 66.30.201.68 sid57.tk. 546 IN A 67.182.191.108 sid57.tk. 546 IN A 67.242.100.149 sid57.tk. 546 IN A 68.59.157.113 sid57.tk. 546 IN A 68.158.68.112 sid57.tk. 546 IN A 68.202.115.44 sid57.tk. 546 IN A 68.217.0.225 sid57.tk. 546 IN A 69.146.101.213 sid57.tk. 546 IN A 70.126.11.42 sid57.tk. 546 IN A 71.72.115.210 sid57.tk. 546 IN A 76.19.49.188 sid57.tk. 577 IN NS ns15.sid57.tk. sid57.tk. 577 IN NS ns16.sid57.tk. sid57.tk. 577 IN NS ns17.sid57.tk. sid57.tk. 577 IN NS ns18.sid57.tk. sid57.tk. 577 IN NS ns1.sid57.tk. sid57.tk. 577 IN NS ns2.sid57.tk. sid57.tk. 577 IN NS ns3.sid57.tk. sid57.tk. 577 IN NS ns4.sid57.tk. sid57.tk. 577 IN NS ns5.sid57.tk. sid57.tk. 577 IN NS ns6.sid57.tk. sid57.tk. 577 IN NS ns7.sid57.tk. sid57.tk. 577 IN NS ns8.sid57.tk. sid57.tk. 577 IN NS ns9.sid57.tk. sid57.tk. 577 IN NS ns10.sid57.tk. sid57.tk. 577 IN NS ns11.sid57.tk. sid57.tk. 577 IN NS ns12.sid57.tk. sid57.tk. 577 IN NS ns13.sid57.tk. sid57.tk. 577 IN NS ns14.sid57.tk. ;; AUTHORITY SECTION: sid57.tk. 577 IN NS ns6.sid57.tk. sid57.tk. 577 IN NS ns7.sid57.tk. sid57.tk. 577 IN NS ns8.sid57.tk. sid57.tk. 577 IN NS ns9.sid57.tk. sid57.tk. 577 IN NS ns10.sid57.tk. sid57.tk. 577 IN NS ns11.sid57.tk. sid57.tk. 577 IN NS ns12.sid57.tk. sid57.tk. 577 IN NS ns13.sid57.tk. sid57.tk. 577 IN NS ns14.sid57.tk. sid57.tk. 577 IN NS ns15.sid57.tk. sid57.tk. 577 IN NS ns16.sid57.tk. sid57.tk. 577 IN NS ns17.sid57.tk. sid57.tk. 577 IN NS ns18.sid57.tk. sid57.tk. 577 IN NS ns1.sid57.tk. sid57.tk. 577 IN NS ns2.sid57.tk. sid57.tk. 577 IN NS ns3.sid57.tk. sid57.tk. 577 IN NS ns4.sid57.tk. sid57.tk. 577 IN NS ns5.sid57.tk. ;; ADDITIONAL SECTION: ns4.sid57.tk. 577 IN A 99.229.58.233 ns5.sid57.tk. 577 IN A 68.224.31.128 ns6.sid57.tk. 577 IN A 213.67.254.75 ns7.sid57.tk. 577 IN A 65.29.146.123 ns8.sid57.tk. 577 IN A 79.184.9.59 ns9.sid57.tk. 577 IN A 76.179.26.169 ns10.sid57.tk. 577 IN A 69.119.119.178 ns11.sid57.tk. 577 IN A 98.223.79.10 ns12.sid57.tk. 577 IN A 99.136.250.90 ns13.sid57.tk. 577 IN A 70.234.150.235 ns14.sid57.tk. 577 IN A 24.28.150.162 ns15.sid57.tk. 577 IN A 69.122.77.115 ns16.sid57.tk. 577 IN A 99.242.5.254 ns17.sid57.tk. 577 IN A 68.197.137.239 ns18.sid57.tk. 577 IN A 75.181.90.242
参考にもうひとつ。
;; ANSWER SECTION: www.usaadp.com. 600 IN A 69.146.101.213 www.usaadp.com. 600 IN A 68.217.0.225 www.usaadp.com. 600 IN A 68.202.115.44 www.usaadp.com. 600 IN A 68.158.68.112 www.usaadp.com. 600 IN A 68.59.157.113 www.usaadp.com. 600 IN A 67.242.100.149 www.usaadp.com. 600 IN A 67.182.191.108 www.usaadp.com. 600 IN A 65.82.122.137 www.usaadp.com. 600 IN A 96.33.128.97 www.usaadp.com. 600 IN A 79.111.129.74 www.usaadp.com. 600 IN A 76.106.57.57 www.usaadp.com. 600 IN A 76.19.49.188 www.usaadp.com. 600 IN A 71.72.115.210 www.usaadp.com. 600 IN A 70.126.11.42 www.usaadp.com. 600 IN NS ns18.www.usaadp.com. www.usaadp.com. 600 IN NS ns1.www.usaadp.com. www.usaadp.com. 600 IN NS ns2.www.usaadp.com. www.usaadp.com. 600 IN NS ns3.www.usaadp.com. www.usaadp.com. 600 IN NS ns4.www.usaadp.com. www.usaadp.com. 600 IN NS ns5.www.usaadp.com. www.usaadp.com. 600 IN NS ns6.www.usaadp.com. www.usaadp.com. 600 IN NS ns7.www.usaadp.com. www.usaadp.com. 600 IN NS ns8.www.usaadp.com. www.usaadp.com. 600 IN NS ns9.www.usaadp.com. www.usaadp.com. 600 IN NS ns10.www.usaadp.com. www.usaadp.com. 600 IN NS ns11.www.usaadp.com. www.usaadp.com. 600 IN NS ns12.www.usaadp.com. www.usaadp.com. 600 IN NS ns13.www.usaadp.com. www.usaadp.com. 600 IN NS ns14.www.usaadp.com. www.usaadp.com. 600 IN NS ns15.www.usaadp.com. www.usaadp.com. 600 IN NS ns16.www.usaadp.com. www.usaadp.com. 600 IN NS ns17.www.usaadp.com. ;; ADDITIONAL SECTION: ns1.www.usaadp.com. 600 IN A 74.194.70.138 ns2.www.usaadp.com. 600 IN A 67.81.36.254 ns3.www.usaadp.com. 600 IN A 24.44.191.232 ns4.www.usaadp.com. 600 IN A 99.229.58.233 ns5.www.usaadp.com. 600 IN A 68.224.31.128 ns6.www.usaadp.com. 600 IN A 213.67.254.75 ns7.www.usaadp.com. 600 IN A 65.29.146.123 ns8.www.usaadp.com. 600 IN A 79.184.9.59 ns9.www.usaadp.com. 600 IN A 76.179.26.169
AまたはNSレコードに組み込まれているゾンビPCたちは、たくさんのボットネットにまたがって組み込まれているものもあります。これらがすべて同一のボットネットであるとは思いませんが、同一のボットネット構築屋により生み出されているものだろうと推測されます。
いまだ継続し続けているSQLインジェクションの問題のなかでも、このボットネットの比率はとても高くなっています。(一覧の中にあるもの、同じ目的のものでもdouble-fluxの形態をとっていないものもあります。)
で、double-fluxの形態を見て、一般的な解析は置いておいて、DNSの使い方が気になりました。
この春頃はやっていたstorm botnetでは13個のNSレコードが指定されていました。このときは、512バイト問題を意識してあえて13個以内に抑えているのかなぁと思っていました。やはり現状のインターネットの状況、DNSの状況を考えると、TCP53の利用とか、EDO0への対応を考慮すると、512バイト以内に収めることが感染効率を高めると考えたのかなぁと。(実際は何にも考えていなくってレジストラとかホスティングサービスの制限だったのかもしれませんが…)
でも、今回はNSレコードが18個もあります。512バイト超えるよなぁとか、いろんな問題に直面するかと思っていましたが、特に問題なく猛威を振るい続けています。
巷のDNS界(?)で有名な方々が何年も延々と512バイト問題を語っておられますが、ボットネット業界では、そんな問題は関係ない時代になったと捉えた、インターネットの状況はそうなったとと考えるべきなのかもしれませんね。
いろんな制限がなくなっていく商用インターネット、商用サービスの現状とインターネット研究者の方々がいろいろな場で語られるインターネットへの価値観と現状認識の大きな差の問題がいつも気になるんですよね?ミスリードしまくり?当然マルウェアやボットネットというものは、商用インターネットの状況を敏感に感じとって作られていくものですからね。
といっている間にも、このボットネットは続々と生み出されているわけですが。
by jyake