Valentine StormWorm
Published: 2008/01/22
Xmas,NewYearに続きあっという間にValentine StormWormが出回り始めたようです。全体的な仕掛けはXmas,NewYearのものとまったく同じようなので全体的な動きをXmasのものをサンプルに説明すると以下のようになります。
メール本文のURLにアクセスの際にDNSに問い合わが行われますが、以下のような応答が返ってきます。
;; QUESTION SECTION: ;merrychristmasdude.com. IN A ;; ANSWER SECTION: merrychristmasdude.com. 0 IN A XXX.XXX.XXX.XXX ;; AUTHORITY SECTION: merrychristmasdude.com. 172786 IN NS ns9.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns10.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns11.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns12.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns13.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns2.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns3.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns4.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns5.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns6.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns7.merrychristmasdude.com. merrychristmasdude.com. 172786 IN NS ns8.merrychristmasdude.com.
- 13個のNS recordが返ってくる。←StormWorm DNS
- 13個のNSそれぞれのIPアドレスも問い合わせの都度変化する。(2000IP以上)
- 求めるURLのA recordは1つしか返ってこないが、これも問い合わせの都度違うIPアドレスになる。
- A recordのTTLは0
DNSラウンドロビンは普通の話ですが、この場合、Malware配布サイトのAレコードだけではなく、そのAレコードを答えるNSも13台それぞれが2000以上のIPアドレスを持っています(∴double-flux)
このNS(StormWorm DNS)やMalware配布サイトはbot化したPCやホスティングサーバーなどが利用されています。
さらにこれらのURLが20近くあるということで、何重にも冗長化が組まれています。
2007/12/30~2008/1/7までに観測されたStormWorm DNSは約2500IP程ありそのサーバーを国別に分類するとこうなります。
「StormWorm DNS、StormBotnet」の頃と比べると若干変化はあるが、南米、アジア各国に広く存在して当然日本にも存在する。日本国内に限定してAS別に分類するとこうなる。
「StormWorm DNS、StormBotnet」の頃はホスティングサーバーが利用されている例が多かったが、今回はほとんどが一般ユーザーのPCが利用されているものだった。
観測されたURLすべてのNSとそのIPアドレスの関係を図にしてみるとこうなります。
見ただけでは何のことだかわかりませんが( ̄_ ̄;)、小さい点がIPアドレスで線が集約されているところがNSレコードを表しています。( ̄_ ̄;)、
こういった仕組みが用いられる理由としては
- アベイラビリティの確保
- 「見た目上のDNS、Webサイトを使い捨て」、「必要になったら追加、変更を延々と繰り返していく」ことによりサイト閉鎖やセキュリティ対策による影響を軽減する。
- それだけではなく、大規模なNW障害が発生してインターネット上のいろいろなサービスが停止したとしてもStormBotnetだけは影響を受けないのではないだろうか、、
- 隠蔽
- 裏側にいるDNS,Webサーバーの本体を隠蔽
- これらの結果、効率的に目的を達成、成果を出せる。
- 目的は金銭的なものだろうか?
語弊があるかないかわかりませんが、実際のサービス運用と比べてみても遜色のない(というか、より高品質?見習うべき?)サービス運用がなされているという見方ができてしまいます。
対策としては、こうしてみるとやはり一番最初の導入段階でのURLをフィルタもしくはDNSでblackholeすることがもっとも効果が高いでしょう。それ以降の段階では効果的な対策は難しいのではないでしょうか?
by jyake