既に述べたようにボットはウイルス検知ソフトで検出できない可能性が、通常のウイルスやワームに比べて高い。そこでボットの挙動の特性を使ってボットの感染を検出する方法を考える(図6)。
特性1:OSおよびウイルス検知ソフトの定義ファイル(パターン・ファイル)の更新不能
ボットにはOSを更新(セキュリティ上の欠陥を修正)したり、ウイルス検知ソフトの定義ファイルを更新したりするためのネットワーク・アクセスを不能にするものがある。例えばMicrosoft Windowsであれば、Microsoft Updateのサイトにアクセスできなくするのである。他のネットワーク・アクセスは正常にできるのにこのような特定のサイトへのアクセスができない場合は、ボットに感染した可能性が極めて高い。
特性2:ウイルス検知プログラムの停止
ボットにはウイルス検知プログラムのプロセス名を保持し、それに一致するプロセスを見付けると削除してしまうものがある。
この場合、例えばダウンロードしたファイルに対して、手動でウイルス・チェックしようとすると、常駐しているはずのプログラムが停止しているためにウイルス・チェックができないというエラー・メッセージが表示されたりする。停止してしまっていたウイルス検知プログラムを改めて起動し直して、同様に行なってもまたしばらくすると同じメッセージが表示されるような場合はボットに感染してしまったと考えるべきであろう。
特性3:ユーザーの意図しない通信
ボットはIRCやP2Pの技術等を使ってHERDERからの作業指示を受ける。ルーター等のゲートウエイにおいてネットワークを監視し、当該パソコンをユーザーが使っていないにもかかわらず、外部(不審なサイト、業務上無関係のサイト)と通信を行なっている場合は、ボット感染の可能性を疑うべきである。ただ、この通信がユーザーが意図的に仕込んだプログラムであったり、またユーザーによる誤操作による可能性もあるので、まずはユーザーに詳細を確認しよう。
特性4:ネットワーク・バースト
ボットに感染したパソコンがボットネットの一員として悪用されているとき、例えばDDoS 攻撃に加担している、またはスパム・メールの大量送信に使われているときは通常よりも大きなネットワーク・トラフィックが発生することがある。
そこでルーター等ゲートウエイにおいてネットワークを監視し、通常よりも極端に大量の通信を行なっているパソコンを発見した場合には、ボットの感染を疑い、当該パソコンのユーザーに、その大量通信が意図したものか、または操作ミスによるものか至急確認する。ユーザーによるものでないと分かった場合は、まずはネットワーク・ケーブルを抜く等してネットワークから切り離そう。
特性5:特定サイトへのアクセス
既に述べたように感染したボットは自分自身をバージョン・アップするために、特定のサイトからファイルをダウンロードする。この「特定のサイト」についてはセキュリティ対策ソフト・ベンダが情報を提供していることがあるので、それらの情報を参照し、その「特定サイト」への通信を遮断するようにファイアウォールに設定するとともに、そのサイトにアクセスしようとしているパソコンがないか確認する。
上記のような方法でボット感染の可能性を見付けた場合の最も確実な復旧方法はシステムの初期化再インストールである。しかし、運用中のシステムへの実施は現実的ではないであろう。まずはセキュリティ対策ソフトが使用できる状態であれば、ネットワークを使わない方法(CD-R経由等)で最新のパターン・ファイルを組み込み、復旧を試みる。
最新のパターン・ファイルでも検知・復旧ができない場合は、新種である可能性があるので、まずはセキュリティ対策ソフト・ベンダに報告して、分析・解析を依頼し、新しいパターン・ファイルを作ってもらおう。報告先を以下に列挙しておく。現在、セキュリティ対策ソフト・ベンダは「検体」の提出を受けてから、平均して数時間でパターン・ファイルの提供ができる体制を有しているとのことである。
[参考]
シマンテック
http://www.symantec.com/region/jp/techsupp/online.html
トレンドマイクロ
http://inet.trendmicro.co.jp/esolution/supform.asp
マカフィー
http://www.mcafee.com/japan/security/contactavert.asp
|
