パスワードを忘れた? アカウント作成
Close
15120 story

ボットネットは主に2種類のワームが構築 37

ストーリー by mhatta
ムシムシコロリ 部門より

pinbou 曰く、

本家/.の記事より。侵入者によって乗っ取られたマシンで構成され、DoSやスパムの発信元になるなど近年問題となっているボットネットだが、HNSの記事によるとほとんどのボットネットはたった2種類のワーム(SDbotとGaobot)によって築かれたものであることが判明したという。2007年第一4半期に検出されたボットがらみの事例の約80%はこの2種かその亜種によるものだったらしい。その他のワームとしては、Oscarbot、IRCbot、RXbotなどがある。

当たり前ですが、ウイルスにも出来の差というものがあるのですね。

検出されたのが主にその2種、ということは、むしろ出来が悪かったんじゃ…。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ボットネットは主に2種類のワームが構築 More

  • ボットの場合検出されない事を目標としているのではなさそうなのでそこで性能をはかるのは疑問です。

    単にコンピュータの数を確保したいだけで、セキュリティの甘いコンピュータが大量にあれば
    感染力は強いが、検出されやすいというのも合理的な戦略だとおもいます。

    • Re:善し悪しは目的しだいかと。 (スコア:1, 参考になる)

      by Anonymous Coward on 2007年04月10日 9時11分 (#1140096)
      感染力と検出の難しさは天秤にかけるものではありませんが?
      最近のマルウェアは寿命を延ばすために解析しにくい工夫がなされているものが多いですよ。
      シェア
      親コメント

      • Re:善し悪しは目的しだいかと。 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2007年04月10日 9時35分 (#1140115)
        具体例を挙げてくれないと単なるFUDになってしまいますよ?
        シェア
        親コメント

        • Re:善し悪しは目的しだいかと。 (スコア:3, 参考になる)

          by ex (1307) on 2007年04月10日 12時49分 (#1140255) ホームページ 日記
          まぁ、とりあえずこの辺の記事は一読しといて損は無いかと思います。

          ”ボットネット概要”発表 - ISS高橋氏・ラック新井氏がボットを語る [mycom.co.jp]

          >この中で、パターンマッチング対策として紹介されているのが、圧縮ツールを用いた難読化だ。
          >SymantecのKevin Hogan氏も指摘しているが、実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、
          >これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。

          もっと詳しい資料は、JPCERT/CC [jpcert.or.jp]のボットネット研究資料 [jpcert.or.jp]にもあります。

          最近の事例だと、Storm Wormがrootkit的な技術を用いていました。
          暴風雨被害の動画を装うトロイの木馬「Storm Worm」、各国で大規模な被害 [impress.co.jp]
          マルウェア抗争の再来? ボットネットがWarezov陣営を攻撃 [itmedia.co.jp]
          シェア
          親コメント
          • 実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。

            1994年にはすでにありました。MS-DOS上のvirusの話だけど。ミューテーションウイルスと呼ばれていました。

            デバッガ上またはVMware等の仮想システム上で実行されていることを検出する機能があり、これを検出した場合、活動を停止したり、自分自身を消去するものがある

            cloakingも同じく。MS-DOSのAPIをフックして、感染したファイルを開くと一時的に除去したり、メモリ上から消えたり。

            あれからもう10年以上経っているのだし、駆除妨害はもっと面白い手法が生まれててもおかしくないのですが。

            シェア
            親コメント
            • というかWindows時代になって、マシンパワーの飛躍的向上とともに、
              ファイルサイズやリソースなど誰も気にしなくなったため、
              ミューテーションとかクローキングなんてしなくなってませんか?

              ウイルス対策製品が導入されていないPCも十分に多いのだから、
              それをターゲットにすればよしと。

              さらに言えば、既存の実行ファイルにくっついて感染するウイルスよりも、
              単体で動作するワームのほうが主流に見えます。
              これも、Windows時代になって、システムのファイル数が飛躍的に増大し、
              ディレクトリも深く掘るのが普通に行われるようになったため、
              ワームを隠すのが簡単になったからでしょう。

              ウイルスやワームにとっては良い環境になったわけです。
              シェア
              親コメント
            • packing とミューテーションウイルス (polymorphic virus [sophia-it.com]) は全く別の話です。packing というのは、昔で言うと diet [vector.co.jp]、今で言うと UPX [sourceforge.net] みたいなプログラム (packer) で変換することです。
              シェア
              親コメント

        • Re:善し悪しは目的しだいかと。 (スコア:1, 参考になる)

          by Anonymous Coward on 2007年04月10日 13時13分 (#1140270)
          元ACです。

          名前を失念してしまいましたが、仮想マシン上でマルウェアを動かして動作前と動作後の差を取り出せるツールがあって、それを防ぐために仮想マシン上での動作の場合は何もしないっていうマルウェアが多いはずです。
          あと、ここらへんが参考になるんじゃないでしょうか。

          http://www.itmedia.co.jp/enterprise/articles/0612/28/news042.html [itmedia.co.jp]
          http://www.itmedia.co.jp/news/articles/0606/29/news068.html [itmedia.co.jp]

          1番目の記事は、最近は逆にそういう対策が無くなって来た、とかかれてますが。
          シェア
          親コメント
        • ワームに対するFUDで困る人って…。
          つまり、貴方はこれらのワームを利用しているので、FUDにより利益が損なわれるのではという懸念ですか?
          • 不当に驚異を煽り立てて対策ソリューションを購入させるってことにならない?
            シェア
            親コメント
            • 「うおおぉぉこのBotはビックリ仰天、たまげた!!」な驚異じゃなくて、脅威ですよね。
              シェア
              親コメント
            • >不当に驚異を煽り立てて対策ソリューションを購入させるってことにならない?

              と「Linuxにはアンチウイルスは要らない」なんて言ってる人に騙され、
              本当に要らないと思い込んで導入せず、Bot化されているLinuxサーバや
              マルウェアをばら撒きまくっているメールサーバならたくさん知ってます。

              • Re:善し悪しは目的しだいかと。 (スコア:1, 興味深い)

                by Anonymous Coward on 2007年04月10日 13時02分 (#1140262)
                Linux上で動作するウィルスは、多くがインターネットに公開されたサービス、
                もしくは有名なwebアプリケーションの脆弱性を利用して感染を
                広めるタイプのモノだと思いますが、そういう通信(攻撃)を検知し、
                実行を食い止めるアンチウィルスソフトがあるのでしょうか。
                それはIPSなどの領域では?
                シェア
                親コメント
              • 事実ならFUDちゃうやん。
                シェア
                親コメント
              • 多いだのたくさん知ってるだのって主観的過ぎてわからん。
                感染力にしても検出力にしてもLinuxにしても、元々のワームにしても具体的にはどうなのってところが俎上にあがってるんじゃないの?

                という訳で以下続く
              • たくさんって、具体的にはどれくらい?
              • (ここでのウイルスはあれやこれや広義の意味として)

                うん、だから、「Linuxで動くウイルス」に対応したアンチウイルスソフト(Linux用)が存在するのなら教えてほしいんですけど。

                知らないものは導入しようがないです。
              • マックではウィルスは大丈夫というCMにだまされ
                ウィルスまみれになるのはいいとしても、
                ばら撒きまくっていた友人が数人いました。
                駆除して回ってびっくりしたあるよ。

              • Re:善し悪しは目的しだいかと。 (スコア:1, おもしろおかしい)

                by Anonymous Coward on 2007年04月10日 13時27分 (#1140279)
                3 つ以上。

                #雑魚なのでAC
                シェア
                親コメント
              • はいはい、現実を直視しようとしないコメントご苦労さん。

                毎日のように送られてくるウイルスメールは、どんなサーバを通ってきてる?
                毎日世界中からSSHでスキャンがされるんだが、これに逆スキャンすると
                どんなマシンなのかシグネチャがわかるんだけど、見てみたかい?

                現実を否定するのは簡単。妄想を信じればいい。
                夢の国に住んでいれば、嫌なことなんてないよね。

              • 具体例を示さずに意見を延べて、その根拠を求められたら
                「嘘だったら誰が困るの?」「自分で調べてみれば?」で済むのも夢の国ですよ。
                「数値は今出せませんが」などと書けば済むことで、質問者を罵倒する必要はありません。
              • >毎日世界中からSSHでスキャンがされるんだが、これに逆スキャンするとどんなマシンなのかシグネチャがわかるんだけど、見てみたかい?

                貴方がスキャンされたものの逆スキャン結果が、他の人でも見られるようにしてないなら、「見てみたかい」等と言われても困りますな。
                ぜひ一般公開してください。
                とりあえずトップ100くらい、このスレにコピペしてよ。
              • このへんにこれを設置しておきますね。

                ということにしたいのですね。
              • >ウイルスメールは、どんなサーバを通ってきてる?
                例えばUnix系OSのホストだとして、ただのOpenProxyと違いますか。それは・・・

                ホントに調査してます?ウィルス送信元が、どうしてウィルスに感染してると
                考えられるのでしょうか。
              • うちのサーバも毎日のようにSSHにアタックしてくるので、既知のSSHポートはダミーにして
                わざとたくさんID/PASSWORDセットを垂れ流させて回収してます(笑)
                さすがにアクセス元地域のベスト100なんて書きませんが、上位に222.xxx.xxx.xxxなIPが
                結構ランクインしてます。
                最近の傾向としてはUS方面からのアタックが増加傾向です。しかもID辞書が日本人名。

                #収集家gesaku
                シェア
                親コメント
              • みんなが見たがってるのは、逆スキャン結果であって、
                統計の結果じゃないと思うぞ。
                今話題になってるのは、OSの種類の話ですぜ。

                # 多分、「逆スキャンしていいのか」という問題で燃え上がりたいんだ。
              • > うん、だから、「Linuxで動くウイルス」に対応したアンチウイルスソフト(Linux用)
                > が存在するのなら教えてほしいんですけど。

                ClamAV [clamav.net]のVirus Database Search [securesites.net]で,"Linux"をキーワードにして検索してみると,ClamAVがかなりの数の(広義の)ウィルスに対応しているのがわかると思いますよ.
                シェア
                親コメント
              • ありがとうございます。ClamAVですか。これで定期的にディスク全体(選んでもいいけど)をスキャンするわけですね。

                OSのファイルの読み書き処理に割り込んでチェックする、なんて危ないやつではない、と。
              • 手持ちのアタック元IPアドレスデータベースに片っ端から逆スキャンするのは時間さえあれば可能。
                でも、あえてそれに触れなかったのはグレーゾーンだから。
                だったらアタックしてきたID/PASSセット(+α)で相手を分類、推察してやろうってだけの話です。
                #ID出してブラックな話をする勇気なんて私にはありませんので
                #だからといってACだったら何でも言っていいのかっつー話もあるが

                出てくる(送ってくる)モノだけで中身を推察してやろうなんて、(出来るかどうかは別として)アレゲじゃありませんか?

                #「箱の中身は何だろう」ゲームでウミウシ入れられて失神しかけたgesaku
                シェア
                親コメント

  • 出来が悪い? (スコア:1, 興味深い)

    by Anonymous Coward on 2007年04月10日 9時36分 (#1140117)
    > 検出されたのが主にその2種、ということは、むしろ出来が悪かったんじゃ…。

    検出技術の出来が悪かったってことでしょうか

    • Re:出来が悪い? (スコア:2, 興味深い)

      by Anonymous Coward on 2007年04月10日 11時04分 (#1140178)
      「実際に形成されたbotnetの勢力分布」と、「検出に成功したbotnetの勢力分布」
      を比べて、その二つが近似していた場合は、出来の良いのはその二種、という事になるでしょう。
      が、「実際に形成された」ものが測りようが無いので、なかなかそうも言い切れないわけですが。

      botnetの目的が、「検出に成功するまでの間マシンをコントロール状態に置ければいい」のであれば、
      派手な活動をしてでも短期間にbotnetを形成できる方が都合がいいし、
      「検出に成功されないで、長い間マシンをコントロール状態におきたい」場合は、
      可能なかぎりステルスを行うのが都合がいい、と言えるでしょう。

      実際には、最近はrootkit的技術を用いて自らの隠蔽を図るbotもありますから、その辺がどこまで検出されてるのかは
      ……どうですかね。「botnet」といえるほどに勢力を拡大した場合はそれなりに網にひっかかりそうな気もしますが。
      シェア
      親コメント

  • これがいわゆる (スコア:0)

    by Anonymous Coward on 2007年04月10日 11時28分 (#1140195)
    「二大政党制」ってやつですか。

    • Re:これがいわゆる (スコア:0)

      by Anonymous Coward
      いやいや、ボットネットもWindowsがシェア100%の独裁政権ですよ。

      • Re:これがいわゆる (スコア:1, 興味深い)

        by Anonymous Coward on 2007年04月10日 22時57分 (#1140535)
        絶対数ではそうかもしれませんが
        Macは対策している人がほとんどいないので
        割合はかなり高いと思います。
        私が報告したものもまだ検出できない状態ですし
        自マシンに被害が出ない限り気にしないのが大半です。
        また安全と思い込んでいるため啓蒙もむつかしいです。
        シェア
        親コメント

        • Re:これがいわゆる (スコア:1, 興味深い)

          by Anonymous Coward on 2007年04月10日 23時39分 (#1140555)
          Appleが安全と思い込ましてるの間違いだと思いますが。
          というかあのCMがおおっぴらに叩かれないのは企業としてのカリスマゆえなのかそれとも規模の小ささによるものなのか。
          シェア
          親コメント

          • Re:これがいわゆる (スコア:1, 興味深い)

            by Anonymous Coward on 2007年04月11日 14時02分 (#1140979)
            あのCMとは無関係だと思いますね。
            私の言ってるのはあのCM以前からのことですから。
            いろいろな理由で(あのCMで洗脳されているのも当然含めて)
            安全だと思い込んでいる人が多いってことです。

            同業の某Mac専門ライターのところに行った時
            盛大に罹患していたのを見つけたこともあった。
            シェア
            親コメント

  • Winnuke (スコア:0)

    by Anonymous Coward on 2007年04月10日 13時08分 (#1140267)
    やっぱりWinnukeのように外部からWindowsを黙らせる機能があれば楽なのでしょうけど

    スパムは結構きます潰したくなりますね。
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常