Symantec Security Response Weblog
Downadup: Attempts at Smart Network Scanning 」より
January 23,2009 Posted by Eric Chien

 脅威が複製され,拡散する度合いは,インターネット上にあるほかのパソコンを検出するアルゴリズムに左右されることが多い。パソコンの識別には,IPアドレスが使われる。「Downadup」ワームは,さまざまなテクニックを用いて新たなパソコンをスキャン(探索)するが,その狙いは感染力を最大限に高めると同時に,パソコン上で検出されるリスクを最小限に抑えることにある。

 ブルートフォース(総当たり攻撃)によるネットワーク・スキャンは,感染したパソコンで速度低下とネットワーク障害を起こすために目立つ。Downadupは,この問題を二つの方法で抑えようとしている。まず,二つの有名Webサイトにアクセスし,攻撃対象パソコンの平均的な通信帯域幅を計算する。そして,この値を参考にして,一度に実行可能なリモート・プロシージャ・コール(RPC)のエクスプロイト・スキャン回数を設定する。次に,スキャンの種類やパソコンの使用状況に応じ,各スキャン処理後に0.1~2秒の一時停止時間を設ける(Downadupは,パソコンのキー操作間隔が5分以上開かない限り,使用中とみなす)。

 Downadupは,4種類のスキャンを無限に試み続ける。各スキャン処理で「同じサブネット内にあるパソコン」,「過去に感染できたパソコン」,「感染済みパソコンの周辺にあるパソコン」,「ランダムに選択したパソコン」を探す。

 一つめのスキャンでは,感染パソコンと同じサブネット内の全IPアドレスを,最初から最後まで順番にスキャンする。マルチホーム・パソコン(複数のIPアドレスを持つパソコン)もスキャン対象となる。

 二つめのスキャンで,以前感染できたパソコンへの感染を試みる。これには,(1)ウイルス駆除済みと思われるパソコンに再感染する,(2)PtoP形式の通信チャネルを開きペイロード・ファイルを受信する,という二つの目的がある(過去のブログ記事「Downadup: Peer-to-Peer Payload Distribution」を参照のこと)。Downadupが記憶している感染済みパソコンは,直近の100台だけだ。

 その後,Downadupは攻撃対象とするIPアドレスのランダム生成を始める。これが四つめのスキャン処理だ。本来の機能というよりもバグに近いが,約40億個ある割り当て可能なIPアドレスの4分の1程度しか作れないので,このRPCエクスプロイトで到達可能なIPアドレスには限度がある。

 Downadupは,四つ目のスキャンと並行して,感染済みパソコンの周辺パソコンをスキャンする三つ目の処理を行う。

 具体的には,各感染済みパソコンがクラスC規模のネットワーク(IPアドレスのネットID部が24ビット長)に属しているとみなし,所属クラスCネットワークから10ブロック分さかのぼって合計11個のクラスCネットワークをスキャンする。例えば,感染済みパソコンのIPアドレスが「208.77.188.166」ならば,「208.77.178.1~208.77.188.255」のIPアドレスをスキャンするのだ。

 なお,Downadupは上記範囲の全IPアドレスをスキャンするわけではない。例えば「127.x.x.x」や「169.254.x.x.」といった無効なIPアドレスのスキャンはスキップする。それよりも重要なのは,Downadupがセキュリティ・ベンダーのIPアドレスで構成された膨大なブラックリストを所有していることだ。そのリストの一部を以下に示す。

 セキュリティ・ベンダーへの感染を試みないようにすることで,Downadupはハニーポット・システムを回避しようとしている。さらに,このブラックリストはコネクトバックを拒否するためにも使い,感染パソコンにアクセスしてペイロード・ファイルを入手するセキュリティ・ベンダーの行動を阻止する。

 Downadupはその後,自身が動いているパソコンに置いたIPアドレス・リストを更新する。スキャン開始後に変更が生じた場合,スキャンを停止する。これは,Downadupがあらかじめ設定されたIPアドレスにコネクトバックする仕組みになっているためだ。

 コネクトバックするIPアドレスの確認は,Downadupにとって新たな問題となる。家庭で使われているパソコンの多くは,無線LANルーター,ファイアウォール,ネットワーク・アドレス変換(NAT)デバイス経由でインターネット接続されており,感染済みパソコンが外部からアクセスするのは難しい。Downadupでは様々な工夫によってこれらの問題を回避している。具体的な手法については,今後の「W32.Downadup」関連記事で取り上げる。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Downadup: Attempts at Smart Network Scanning 」でお読みいただけます。