「From Fast-Flux to RockPhish - Part 2」より
December 3, 2007 Posted by Francois Paget
前回のブログ記事(攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その1)では,攻撃手法「Fast-Flux」を分析した。この手口に含まれる「single-flux」の説明は終わりにして,より高度なカモフラージュを取り上げる。「double-flux」では,single-fluxがDNSという枠組みでWebサイトを規定するDNSサーバーのIPアドレスを様々に変えたのと同様,偽WebサイトのIPアドレスを多様化させてカモフラージュする。
ある犯罪者が,制御/監視用のワークステーションを持っているとしよう。このワークステーションの働きは,httpトラフィックを中継するだけではない。前回説明した通り,DNSサーバーの動きを真似て,しばらくの間だけ有効な接続用IPアドレスを応答する。
 |
被害者がWebサイトにアクセスしようとすると,そのサイトのドメイン名を管理しているDNSサーバーに名前解決リクエストが送られる。single-fluxの場合と全く同じように,このリクエストは寿命の短いIPアドレスを介して犯罪者のネットワークに届く。この段階で初めて,fast-fluxではリクエストをボットネット内にある1台目のゾンビ・パソコンに転送する(DNSサーバーのFast-Flux:IP_AからIP_E)。このゾンビはC&Mのワークステーションにリクエストを出し,取得した結果を再び同じ方法で被害者のパソコンへ転送する(WebサイトのFast-Flux:IP_1からIP_9)。
 |
このとき被害者に返されるIPアドレスは,(C&Mワークステーションとは異なる)別のゾンビのものである。犯罪者は,2台目のゾンビで被害者からのトラフィックを中継して自分の匿名性を守る。
三つ目の例は,モザイクをかけた画像で分かるように,中核Webサイトを目立たなくしたアダルト・サイトを取り上げる。数分の間隔をあけてWindowsのdig(Domain Information Groper)コマンドを2回実行したところ,以下のような結果になった。
 |
問題のWebサイトは,IPアドレスの有効期限が10分(600秒)で,IPアドレスが多岐にわたっていた(WebサイトのFast-Flux)。同じく対応するDNSサーバーも,IPアドレスが短い時間で変化していた(DNSサーバーのFast-Flux)。
これまでに紹介した三つの手口を組み合わせると,ますます頭痛がひどくなる。その代わり,謎に包まれている攻撃手法「RockPhish」で使われる仕組みが理解できる。ポイントは以下の通りだ。
・大量のドメイン名
・double-fluxとして機能するFast-Fluxボットネット
・フィッシング・メール送信を受け持つ専用ソフトウエア。各メールの受信者には,対応するインデックスが割り当ててある。インデックスは誘導用URLのパラメータとして使われ,受信者が接続するミラー・サイトでも利用される
 |
この攻撃用ネットワークのトラフィックをまとめたデータは,なかなか興味深いはずだ。フィッシング・メールから収集した以下のURLリストを見るだけで,RockPhish攻撃の複雑さがよく分かる。
 |
ホスト・マシンのドメイン名は,DNSサーバーと同じく様々だ。制御/監視用ワークステーションが,攻撃用ネットワークの構造をリアルタイムに管理している。このネットワークが,マルウエアの感染したパソコンによるネットワーク(ボットネット)であることを忘れないようにしよう。しかるべき転送先と被害者や銀行,パソコンを接続するためにインデックスを使い,詐欺グループは攻撃から利益を得る。
この解説記事が役立ってくれればと思う。攻撃はますます高度化してきた。RockPhishを使っている詐欺グループは,攻撃用ネットワークの回復力と隠蔽力を高めることに懸命である。こうした努力は大きな儲けにつながるので,間違いなくほかのグループも同じように力を注ぐ。
Copyrights (C) 2007 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「From Fast-Flux to RockPhish - Part 2」でお読みいただけます。
