botの名前解決
Published: 2009/08/12
ここ数ヶ月大量に検出されきた、これ(バリエーション多数)に関してなのですが、
こいつが最初に投げるリクエストなんですが、MDL等こいつの仲間の情報に関してもはこのようになってます。
ただ、実際にbotの飛ばすリクエストの中身を見てみると、実際にはこのようなリクエストでhostフィールドにちゃんとホスト名が入っています。
ただ、このドメインは存在しませんし、そもそも作成された形跡もありません。
当然bot自身もDNSを利用した形跡はまったくないです。
このドメイン情報をブラックリストに登録する意味もないわけです。
そこでふとbotに名前解決について思い出してみました。。。。。
一般的に、マルウェアに感染すると、さらに追加のプログラムのダウンロードやCnCとの接続を行わますが、それらのホストへの接続にはドメイン名が利用されることが多く、そのためbotは指定されたドメイン名、ホスト名へ接続するために名前解決を行う必要があります。
名前解決の仕組みが用いられる理由は、一般的なサイトの管理と同じであって、本体のサイトのIPアドレスの変更をやりやすくしたり、負荷分散のためですね。
IPアドレスを直接指定していると、マルウェア解析によりそのサイトが特定されたり、IPアドレスによるフィルタリングにより通信を妨害されやすいからです。
ドメインも同じリスクを背負ってはいますが、あらたなIPアドレスであらたなサーバーをつくるよりもドメインを新たに作るのは非常に簡単なのでそちらのほうがリスク管理的にもコスト的にも圧倒的にいいわけです。
次にbotの名前解決の方法なのですが、これにはいろいろバリエーションがあります。
これも、より秘匿性を高め、安定運用のために追跡、対策から逃れるための工夫なわけです。
過去に観測した例としては次のような感じです。
- DNS利用
- 端末に設定されたリゾルバを利用
- 独自DNSを利用
- DNS以外の仕組みを利用
- hostファイルの改ざん
- 指令サーバーからの命令によりドメイン、IPアドレス情報を得る
- 別プロトコルの利用
といっても、なんだかんだいって最も多いのはそのまま端末に設定されたリゾルバをそのまま利用するパターンです。bullet-proofなレジストラの協力により大量に新規のドメインを作成したり、無料ホスティングなどを利用することによる大量性と頻繁な変化により対策、追跡を無力化することだけでも十分な効力が発揮されているからですね。
ただ、これならISPのDNSなどでの対策をがんばる余地はあります。
ちょっとひねったパターンで、独自のリゾルバを利用するパターンもあります。
名前解決に利用するリゾルバが設定されていてそこ(悪性ドメインを管理している)を利用するため、これだとISPで準備したリゾルバを通過しませんので、追跡も対策も不可能です。
次に、そもそもDNSという仕組みを利用しないパターンがあります。
情報を最初から埋め込んでいるものは別にして、hostsを改ざんしてそれを利用したり、別のサイトから情報を持ってきたり。(そもそも別の指令サーバーにアクセスするためにはDNSを使ったりするんですが、、)プロトコルにwhoisのような仕掛けを使っていた先進的?な例もありました。
数年前まで、さまざまな試みが行われていたのを観測していましたが、前述のとおりそれほど工夫しなくても、結局単純に端末に設定されたリゾルバを利用するだけでも十分な成果を発揮できるのであまり複雑なことをする必要はないようです。
おっと、ちなみに最初にあげた例についてですが関連するIPアドレスはこのようなものがあります。
72.167.49.117 69.162.84.186 216.245.213.194 74.53.240.82
ホスト名はこんな感じでスパムっぽいのが無限にあります。
qiq17io527l.com rbg84yf306d.com wgl17ej638h.com ahn28gl740j.com hqw28ot730q.com irx85sy742a.com bkr17ms064u.com sdj41bh852e.com nvd86we752f.com ain74fl363j.com hou52ms052o.com nvc52ty174w.com xgn52io418p.com ajp84hn416l.com kvc28ta730x.com ajq86lr752s.com jrx85ot384q.com
72.167.49.117
CustName: Private Customer - GoDaddy.com Address: 14455 N Hayden Road Address: Suite 226 City: Scottsdale StateProv: AZ PostalCode: 85260 Country: US RegDate: 2008-01-18 Updated: 2008-01-18 NetRange: 72.167.49.100 - 72.167.49.128 CIDR: 72.167.49.100/30, 72.167.49.104/29, 72.167.49.112/28, 72.167.49.128/32 OriginAS: AS26496 NetName: GO-DADDY-SOFTWARE-INC NetHandle: NET-72-167-49-100-1 Parent: NET-72-167-0-0-1 NetType: Reassigned Comment: RegDate: 2008-01-18 Updated: 2008-01-18
216.245.213.194と69.162.84.186
OrgName: Limestone Networks, Inc. OrgID: LIMES-2 Address: 400 N. St. Paul City: Dallas StateProv: TX PostalCode: 75201 Country: US ReferralServer: rwhois://rwhois.limestonenetworks.com:4321 NetRange: 216.245.192.0 - 216.245.223.255 CIDR: 216.245.192.0/19 OriginAS: AS46475 NetName: LSN-DLLSTX-1 NetHandle: NET-216-245-192-0-1 Parent: NET-216-0-0-0-0 NetType: Direct Allocation NameServer: NS1.LIMESTONENETWORKS.COM NameServer: NS2.LIMESTONENETWORKS.COM NameServer: NS3.LIMESTONENETWORKS.COM Comment: http://www.limestonenetworks.com/ RegDate: 2008-01-28 Updated: 2008-11-10
74.53.240.82
OrgName: ThePlanet.com Internet Services, Inc. OrgID: TPCM Address: 315 Capitol Address: Suite 205 City: Houston StateProv: TX PostalCode: 77002 Country: US ReferralServer: rwhois://rwhois.theplanet.com:4321 NetRange: 74.52.0.0 - 74.55.255.255 CIDR: 74.52.0.0/14 OriginAS: AS13749, AS21844, AS30315, AS36420 NetName: NETBLK-THEPLANET-BLK-14 NetHandle: NET-74-52-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Allocation NameServer: NS1.THEPLANET.COM NameServer: NS2.THEPLANET.COM Comment: RegDate: 2006-02-17 Updated: 2009-02-24
ん?OriginASが四つ?
by jyake