| Symantec Security Response Weblog |
March 20,2009 Posted by Security Intel Analysis Team
「Downadup」ワームの作者は2009年3月4日から6日にかけて,Downadupネットワークの一部にメジャー・アップデート版をリリースした。米シマンテックのセキュリティ・レスポンスはハニーポットの一つでこのアップデートを検出し,定義ファイルを作って素早く対応した。Downadupは,これまで非常に興味深い経緯をたどった。当初Downadupの目的は感染を広げることだけだったが,そのうちにワーム作者は強固なボットネットを構築した。このボットネットは,自分たちのアップデート機構を守るための高度なデジタル署名機能を備え,弾力性に富むPtoP通信プロトコルを使っている。同ワームのこれまでの進化を,以下の簡単な表にまとめた。
興味深いのは,「W32.Downadup.A」と「W32.Downadup.B」の両方が備えていた活発な感染ルーチンが,3世代目となる「W32.Downadup.C」で省かれたこと。このためにTCPの445番ポートに対する活動が減少した。シマンテックのセキュリティ情報システム「Symantec DeepSight Threat Management System」でも,図1で示すように減少を捉えていた。
W32.Downadup.Cに関してもう一つ重要な点が,強力なP2Pアップデート機能を新たに搭載したことである。この機能を使うと,Downadupの作者は他のDownadup感染済みパソコンにデジタル署名入りのアップデートを配布できる。さらに,UDP P2P検出ルーチンを備えていて,生成したIPとポートの一覧にUDPトラフィックを送信する。図2は,2月18日~3月3日にSymantec DeepSight Threat Management Systemで捉えた,UDPの1025番ポート以上に関する全活動の変化である。
Symantec DeepSight Threat Management Systemには,3月4日に始まった今回のUDPトラフィック急増が記録されていた。この日付は,W32.Downadup.B感染パソコンにアップデート版であるW32.Downadup.Cが送り込まれたタイミングと一致する。UDP活動がこのように大きく増えたことから,W32.Downadup.Bに感染していたパソコンの相当数が,ランダムなIPアドレスに対してUDP P2P検出を始めたと分かる。W32.Downadup.Cは,この作業をP2P起動(ブートストラップ)ルーチンで行う。
P2Pアップデート機能の主目的は,作者からW32.Downadup.C感染パソコンへデジタル署名入りアップデートを送り付けられるようにすることだ。つまり,ただの(テスト段階にあった可能性のある)インターネット・ワームだったDownadupは,高機能なバックドア/ボットに進化したと言える。このP2Pネットワークのせいで,Downadupネットワークの解体は困難になった。攻撃システムを集中制御する制御サーバーが存在しないからだ。
Downadupは新たにP2Pアップデート機能のほかに,補助的なHTTPアップデート機能も改良した。1日に5万個のドメインを生成し,その中から500個のドメインをランダムに選んで作者のデジタル署名済みアップデートが提供されていないかを毎日調べるようになった。
ただし,Downadupネットワークがどのような目的に利用されるかについては,今のところ分からない。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「W32.Downadup.C Bolsters P2P 」でお読みいただけます。
