セキュリティ上の脅威やセキュリティ・ホールの管理サービスを手がける米LURHQは8月15日,ぜい弱性のあるWindows Serverにボットを送り込むというセキュリティ・ホール検証コードが存在することを明らかにした。同社はこの数日後に,複数あった検証コードのうち,ボット「Mocbot」の亜種をインストールするものについて,詳細な分析結果を公開した。この分析結果は,ウイルス対策ソフト・ベンダーが出す情報よりもはるかに詳しく,教育的な価値も高かった。よってここで,その概要を紹介しよう。
LURHQは,Mocbotそのものと,Mocbotが参加するボット・ネットの内部動作を調べるために,その検証コードを入手してマシンにインストールし,小規模なフォレンジック・ネットワーク(監査ネットワーク)を構築した。
調査に使ったネットワークは,2つのシステムで構成されていた。1つはボットをインストールするためのもので,もう1つはフォレンジック・データを集めるためのインターネット・シミュレータとなる。調査の目的の1つは,このボット・ネットを制御するコントロール・センターを見つけることだった。もう1つの目的は,コントロール・センターへのログオンに関係する情報の発見だ。
コントロール・センターへのログオン情報を入手できれば,ボット・ネット調査のためのデータ収集システムを,手動でコントロール・センターに接続できるようになる。その際は,ボットを調査しているシステムだと見破られず,ボット・ネットにはボットが1つ増えただけのように見せられる。
調査に使う2つのシステムを構築するには,専用のツールが必要となった。LURHQは,ボット感染用クライアントとしてWindowsシステムを使用した。孤立したネットワーク環境であるサンドネット(sandnet)として機能するデータ収集システムは,外部と接続していないサーバーを用いた。LURHQが使ったサンドネット・ソフトウエアは「The Reusable Unknown Malware Analysis Net(Truman)」と呼ばれるツールキットである。Trumanはブート可能なLinuxイメージをベースにしており,データ収集に必要なマルウエアとの通信に利用できるスクリプト集が付属する。
LURHQはこの2つのシステムを連動させることで,ボットネットがInternet Relay Chat(IRC)のあるチャンネルに入るようボットに命じ,その上でスパム送信用のプロキシとして機能するトロイの木馬をダウンロードさせていることを突き止めた。スパム送信者たちは,このボットネットをポルノや腕時計など一般的な商品の販売に利用している。
LURHQによる解説記事はマルウエア分析の作業を順番に示したよい例なので,この種の作業を自分で行うことに興味のある人や,専門家がどのように調査するのかに関心のある人は,読んだ方がいいだろう。
LURHQは,「myNetWatchman」の活動が自社の分析作業に役立つとみている。簡単にまとめると,myNetWatchmanは参加者からセキュリティ・ログ情報を集め,悪質な動作を分析し,対策をとってくれることを期待してしかるべきインターネット・サービス・プロバイダ(ISP)に情報を伝える。この活動の目的は,マルウエアの感染したシステムがインターネットにアクセスできる期間を最小限に抑えることだ。myNetWatchmanの詳細や活動への参加方法は,myNetWatchmanのWebサイトに記載してある。
