cNotes 検索 一覧 カテゴリ

botの名前解決

Published: 2009/08/12

ここ数ヶ月大量に検出されきた、これ(バリエーション多数)に関してなのですが、

http://www.virustotal.com/analisis/6d9869240bb77d0bf13c4945a30db2c1a874f9947714dd6a4efd7225e50edb22-1250062592

こいつが最初に投げるリクエストなんですが、MDL等こいつの仲間の情報に関してもはこのようになってます。

ただ、実際にbotの飛ばすリクエストの中身を見てみると、実際にはこのようなリクエストでhostフィールドにちゃんとホスト名が入っています。

ただ、このドメインは存在しませんし、そもそも作成された形跡もありません。

当然bot自身もDNSを利用した形跡はまったくないです。

このドメイン情報をブラックリストに登録する意味もないわけです。

そこでふとbotに名前解決について思い出してみました。。。。。

一般的に、マルウェアに感染すると、さらに追加のプログラムのダウンロードやCnCとの接続を行わますが、それらのホストへの接続にはドメイン名が利用されることが多く、そのためbotは指定されたドメイン名、ホスト名へ接続するために名前解決を行う必要があります。

名前解決の仕組みが用いられる理由は、一般的なサイトの管理と同じであって、本体のサイトのIPアドレスの変更をやりやすくしたり、負荷分散のためですね。

IPアドレスを直接指定していると、マルウェア解析によりそのサイトが特定されたり、IPアドレスによるフィルタリングにより通信を妨害されやすいからです。

ドメインも同じリスクを背負ってはいますが、あらたなIPアドレスであらたなサーバーをつくるよりもドメインを新たに作るのは非常に簡単なのでそちらのほうがリスク管理的にもコスト的にも圧倒的にいいわけです。

次にbotの名前解決の方法なのですが、これにはいろいろバリエーションがあります。

これも、より秘匿性を高め、安定運用のために追跡、対策から逃れるための工夫なわけです。

過去に観測した例としては次のような感じです。

  • DNS利用
    • 端末に設定されたリゾルバを利用
    • 独自DNSを利用
  • DNS以外の仕組みを利用
    • hostファイルの改ざん
    • 指令サーバーからの命令によりドメイン、IPアドレス情報を得る
    • 別プロトコルの利用

といっても、なんだかんだいって最も多いのはそのまま端末に設定されたリゾルバをそのまま利用するパターンです。bullet-proofなレジストラの協力により大量に新規のドメインを作成したり、無料ホスティングなどを利用することによる大量性と頻繁な変化により対策、追跡を無力化することだけでも十分な効力が発揮されているからですね。

ただ、これならISPのDNSなどでの対策をがんばる余地はあります。

ちょっとひねったパターンで、独自のリゾルバを利用するパターンもあります。

名前解決に利用するリゾルバが設定されていてそこ(悪性ドメインを管理している)を利用するため、これだとISPで準備したリゾルバを通過しませんので、追跡も対策も不可能です。

次に、そもそもDNSという仕組みを利用しないパターンがあります。

情報を最初から埋め込んでいるものは別にして、hostsを改ざんしてそれを利用したり、別のサイトから情報を持ってきたり。(そもそも別の指令サーバーにアクセスするためにはDNSを使ったりするんですが、、)プロトコルにwhoisのような仕掛けを使っていた先進的?な例もありました。

数年前まで、さまざまな試みが行われていたのを観測していましたが、前述のとおりそれほど工夫しなくても、結局単純に端末に設定されたリゾルバを利用するだけでも十分な成果を発揮できるのであまり複雑なことをする必要はないようです。

おっと、ちなみに最初にあげた例についてですが関連するIPアドレスはこのようなものがあります。

 72.167.49.117
 69.162.84.186
 216.245.213.194
 74.53.240.82

ホスト名はこんな感じでスパムっぽいのが無限にあります。

 qiq17io527l.com 
 rbg84yf306d.com 
 wgl17ej638h.com 
 ahn28gl740j.com 
 hqw28ot730q.com 
 irx85sy742a.com 
 bkr17ms064u.com 
 sdj41bh852e.com 
 nvd86we752f.com 
 ain74fl363j.com 
 hou52ms052o.com 
 nvc52ty174w.com 
 xgn52io418p.com 
 ajp84hn416l.com 
 kvc28ta730x.com 
 ajq86lr752s.com 
 jrx85ot384q.com 

72.167.49.117

 CustName:   Private Customer - GoDaddy.com
 Address:    14455 N Hayden Road
 Address:    Suite 226
 City:       Scottsdale
 StateProv:  AZ
 PostalCode: 85260
 Country:    US
 RegDate:    2008-01-18
 Updated:    2008-01-18
 
 NetRange:   72.167.49.100 - 72.167.49.128 
 CIDR:       72.167.49.100/30, 72.167.49.104/29, 72.167.49.112/28,  72.167.49.128/32 
 OriginAS:   AS26496
 NetName:    GO-DADDY-SOFTWARE-INC
 NetHandle:  NET-72-167-49-100-1
 Parent:     NET-72-167-0-0-1
 NetType:    Reassigned
 Comment:    
 RegDate:    2008-01-18
 Updated:    2008-01-18

216.245.213.194と69.162.84.186

 
 OrgName:    Limestone Networks, Inc. 
 OrgID:      LIMES-2
 Address:    400 N. St. Paul
 City:       Dallas
 StateProv:  TX
 PostalCode: 75201
 Country:    US
 
 ReferralServer: rwhois://rwhois.limestonenetworks.com:4321
 
 NetRange:   216.245.192.0 - 216.245.223.255 
 CIDR:       216.245.192.0/19 
 OriginAS:   AS46475
 NetName:    LSN-DLLSTX-1
 NetHandle:  NET-216-245-192-0-1
 Parent:     NET-216-0-0-0-0
 NetType:    Direct Allocation
 NameServer: NS1.LIMESTONENETWORKS.COM
 NameServer: NS2.LIMESTONENETWORKS.COM
 NameServer: NS3.LIMESTONENETWORKS.COM
 Comment:    http://www.limestonenetworks.com/
 RegDate:    2008-01-28
 Updated:    2008-11-10

74.53.240.82

 OrgName:    ThePlanet.com Internet Services, Inc. 
 OrgID:      TPCM
 Address:    315 Capitol
 Address:    Suite 205
 City:       Houston
 StateProv:  TX
 PostalCode: 77002
 Country:    US
 
 ReferralServer: rwhois://rwhois.theplanet.com:4321
 
 NetRange:   74.52.0.0 - 74.55.255.255 
 CIDR:       74.52.0.0/14 
 OriginAS:   AS13749,  AS21844,  AS30315,  AS36420
 NetName:    NETBLK-THEPLANET-BLK-14
 NetHandle:  NET-74-52-0-0-1
 Parent:     NET-74-0-0-0-0
 NetType:    Direct Allocation
 NameServer: NS1.THEPLANET.COM
 NameServer: NS2.THEPLANET.COM
 Comment:    
 RegDate:    2006-02-17
 Updated:    2009-02-24

ん?OriginASが四つ?

[カテゴリ:botnet観察日記]

by jyake