cNotes 検索 一覧 カテゴリ

Asprox botnet

Published: 2008/07/23

create:2008/7/22


最近、fast-flux、double-fluxだけではなくhydrafluxという言葉ができてるんですね。ただまぁ、fastflux,doublefluxと同じで、別に目新しい話ではなく、昔からある手法に最近誰かが命名しただけですが。

  • fast-flux
    • Aレコードの問い合わせ結果が複数応答され、そのIPアドレがスランダムに変わる。(DNSラウンドロビンとほぼ同じ)
  • double-flux
    • fast-flux+その際利用するNSレコードのIPアドレスもランダムに変更になる。
  • hydra-flux
    • fast-flux、double-flux構造で接続したサーバーがさらなるdoorwayサーバーで、そこからさらにランダムなサーバーに接続される。

といった感じですかね。

しかし、クロールしていろいろ調べたとしてもこれだけ複雑な構造で最終的にたどりつくサイトも結局ゾンビPCの集合体ということになると無力感だけが残りますねぇ。中継NWも最後のサイトもころころ入れ替わるゾンビPCの集合体ですから得られる情報の賞味期限は非常に短い。そのうえコンテンツまで数時間で更新するものまであるわけですから。クロールという手法もすでに時代遅れですね。

update:2007/7/23

by jyake


create:2008/7/22

cashtransfers.tkとかcashtransferz.comで有名な最近流行のボットネット?です。若干ボットネット呼ぶのに違和感を覚えますが、今の時代に適応した形態のボットネットと捉えることができるでしょう。

SQLインジェクションと同じ手法でお仲間はざくざく見つかります。(中にはボットネットの形態?をとっていないものもあります。)

ほんの一部ですが、たとえばこんなのがあります。

 tertad.mobi
 porttw.mobi
 lang85.tk	
 sid57.tk
 8tk.tk
 toji.tk
 shot.tk
 q-ik.tk
 mi51.tk
 www.adwadb.mobi
 www.adwbn.ru
 www.adwnetw.com
 www.allocbn.mobi
 www.appdad.com
 www.ausadd.com
 www.ausbnr.com
 www.bnsdrv.com
 www.browsad.com
 www.butdrv.com
 www.canclvr.com
 www.catdbw.mobi
 www.cdrpoex.com
 www.cliprts.com
 www.destbnp.com
 www.gitporg.com
 www.hdrcom.com
 www.iogp.ru
 www.kc43.ru
 www.lokriet.com
 www.loopadd.com
 www.mainadt.com
 www.mainbvd.com
 www.movaddw.com
 www.porttw.mobi
 www.portwbr.com
 www.sslwer.ru
 www.stiwdd.com
 www.tctcow.com
 www.tertad.mobi
 www.testwvr.com
 www.ucomddv.com
 www.usaadp.com
 www.usabnr.com

DNSの応答を見てみると典型的なdouble-fluxのボットネットです。

DNSの応答むちゃくちゃ長いです。

 ;; ANSWER SECTION:
 sid57.tk.               546     IN      A       76.106.57.57
 sid57.tk.               546     IN      A       96.33.128.97
 sid57.tk.               546     IN      A       65.82.122.137
 sid57.tk.               546     IN      A       66.30.201.68
 sid57.tk.               546     IN      A       67.182.191.108
 sid57.tk.               546     IN      A       67.242.100.149
 sid57.tk.               546     IN      A       68.59.157.113
 sid57.tk.               546     IN      A       68.158.68.112
 sid57.tk.               546     IN      A       68.202.115.44
 sid57.tk.               546     IN      A       68.217.0.225
 sid57.tk.               546     IN      A       69.146.101.213
 sid57.tk.               546     IN      A       70.126.11.42
 sid57.tk.               546     IN      A       71.72.115.210
 sid57.tk.               546     IN      A       76.19.49.188
 sid57.tk.               577     IN      NS      ns15.sid57.tk.
 sid57.tk.               577     IN      NS      ns16.sid57.tk.
 sid57.tk.               577     IN      NS      ns17.sid57.tk.
 sid57.tk.               577     IN      NS      ns18.sid57.tk.
 sid57.tk.               577     IN      NS      ns1.sid57.tk.
 sid57.tk.               577     IN      NS      ns2.sid57.tk.
 sid57.tk.               577     IN      NS      ns3.sid57.tk.
 sid57.tk.               577     IN      NS      ns4.sid57.tk.
 sid57.tk.               577     IN      NS      ns5.sid57.tk.
 sid57.tk.               577     IN      NS      ns6.sid57.tk.
 sid57.tk.               577     IN      NS      ns7.sid57.tk.
 sid57.tk.               577     IN      NS      ns8.sid57.tk.
 sid57.tk.               577     IN      NS      ns9.sid57.tk.
 sid57.tk.               577     IN      NS      ns10.sid57.tk.
 sid57.tk.               577     IN      NS      ns11.sid57.tk.
 sid57.tk.               577     IN      NS      ns12.sid57.tk.
 sid57.tk.               577     IN      NS      ns13.sid57.tk.
 sid57.tk.               577     IN      NS      ns14.sid57.tk.
 
 ;; AUTHORITY SECTION:
 sid57.tk.               577     IN      NS      ns6.sid57.tk.
 sid57.tk.               577     IN      NS      ns7.sid57.tk.
 sid57.tk.               577     IN      NS      ns8.sid57.tk.
 sid57.tk.               577     IN      NS      ns9.sid57.tk.
 sid57.tk.               577     IN      NS      ns10.sid57.tk.
 sid57.tk.               577     IN      NS      ns11.sid57.tk.
 sid57.tk.               577     IN      NS      ns12.sid57.tk.
 sid57.tk.               577     IN      NS      ns13.sid57.tk.
 sid57.tk.               577     IN      NS      ns14.sid57.tk.
 sid57.tk.               577     IN      NS      ns15.sid57.tk.
 sid57.tk.               577     IN      NS      ns16.sid57.tk.
 sid57.tk.               577     IN      NS      ns17.sid57.tk.
 sid57.tk.               577     IN      NS      ns18.sid57.tk.
 sid57.tk.               577     IN      NS      ns1.sid57.tk.
 sid57.tk.               577     IN      NS      ns2.sid57.tk.
 sid57.tk.               577     IN      NS      ns3.sid57.tk.
 sid57.tk.               577     IN      NS      ns4.sid57.tk.
 sid57.tk.               577     IN      NS      ns5.sid57.tk.
 
 ;; ADDITIONAL SECTION:
 ns4.sid57.tk.           577     IN      A       99.229.58.233
 ns5.sid57.tk.           577     IN      A       68.224.31.128
 ns6.sid57.tk.           577     IN      A       213.67.254.75
 ns7.sid57.tk.           577     IN      A       65.29.146.123
 ns8.sid57.tk.           577     IN      A       79.184.9.59
 ns9.sid57.tk.           577     IN      A       76.179.26.169
 ns10.sid57.tk.          577     IN      A       69.119.119.178
 ns11.sid57.tk.          577     IN      A       98.223.79.10
 ns12.sid57.tk.          577     IN      A       99.136.250.90
 ns13.sid57.tk.          577     IN      A       70.234.150.235
 ns14.sid57.tk.          577     IN      A       24.28.150.162
 ns15.sid57.tk.          577     IN      A       69.122.77.115
 ns16.sid57.tk.          577     IN      A       99.242.5.254
 ns17.sid57.tk.          577     IN      A       68.197.137.239
 ns18.sid57.tk.          577     IN      A       75.181.90.242

参考にもうひとつ。

 ;; ANSWER SECTION:
 www.usaadp.com.         600     IN      A       69.146.101.213
 www.usaadp.com.         600     IN      A       68.217.0.225
 www.usaadp.com.         600     IN      A       68.202.115.44
 www.usaadp.com.         600     IN      A       68.158.68.112
 www.usaadp.com.         600     IN      A       68.59.157.113
 www.usaadp.com.         600     IN      A       67.242.100.149
 www.usaadp.com.         600     IN      A       67.182.191.108
 www.usaadp.com.         600     IN      A       65.82.122.137
 www.usaadp.com.         600     IN      A       96.33.128.97
 www.usaadp.com.         600     IN      A       79.111.129.74
 www.usaadp.com.         600     IN      A       76.106.57.57
 www.usaadp.com.         600     IN      A       76.19.49.188
 www.usaadp.com.         600     IN      A       71.72.115.210
 www.usaadp.com.         600     IN      A       70.126.11.42
 
 www.usaadp.com.         600     IN      NS      ns18.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns1.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns2.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns3.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns4.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns5.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns6.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns7.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns8.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns9.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns10.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns11.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns12.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns13.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns14.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns15.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns16.www.usaadp.com.
 www.usaadp.com.         600     IN      NS      ns17.www.usaadp.com.
 
 ;; ADDITIONAL SECTION:
 ns1.www.usaadp.com.     600     IN      A       74.194.70.138
 ns2.www.usaadp.com.     600     IN      A       67.81.36.254
 ns3.www.usaadp.com.     600     IN      A       24.44.191.232
 ns4.www.usaadp.com.     600     IN      A       99.229.58.233
 ns5.www.usaadp.com.     600     IN      A       68.224.31.128
 ns6.www.usaadp.com.     600     IN      A       213.67.254.75
 ns7.www.usaadp.com.     600     IN      A       65.29.146.123
 ns8.www.usaadp.com.     600     IN      A       79.184.9.59
 ns9.www.usaadp.com.     600     IN      A       76.179.26.169
 

AまたはNSレコードに組み込まれているゾンビPCたちは、たくさんのボットネットにまたがって組み込まれているものもあります。これらがすべて同一のボットネットであるとは思いませんが、同一のボットネット構築屋により生み出されているものだろうと推測されます。

いまだ継続し続けているSQLインジェクションの問題のなかでも、このボットネットの比率はとても高くなっています。(一覧の中にあるもの、同じ目的のものでもdouble-fluxの形態をとっていないものもあります。)

で、double-fluxの形態を見て、一般的な解析は置いておいて、DNSの使い方が気になりました。

この春頃はやっていたstorm botnetでは13個のNSレコードが指定されていました。このときは、512バイト問題を意識してあえて13個以内に抑えているのかなぁと思っていました。やはり現状のインターネットの状況、DNSの状況を考えると、TCP53の利用とか、EDO0への対応を考慮すると、512バイト以内に収めることが感染効率を高めると考えたのかなぁと。(実際は何にも考えていなくってレジストラとかホスティングサービスの制限だったのかもしれませんが…)

でも、今回はNSレコードが18個もあります。512バイト超えるよなぁとか、いろんな問題に直面するかと思っていましたが、特に問題なく猛威を振るい続けています。

巷のDNS界(?)で有名な方々が何年も延々と512バイト問題を語っておられますが、ボットネット業界では、そんな問題は関係ない時代になったと捉えた、インターネットの状況はそうなったとと考えるべきなのかもしれませんね。

いろんな制限がなくなっていく商用インターネット、商用サービスの現状とインターネット研究者の方々がいろいろな場で語られるインターネットへの価値観と現状認識の大きな差の問題がいつも気になるんですよね?ミスリードしまくり?当然マルウェアやボットネットというものは、商用インターネットの状況を敏感に感じとって作られていくものですからね。

といっている間にも、このボットネットは続々と生み出されているわけですが。

[カテゴリ:botnet観察日記]

by jyake