前回の記事では、WaldacボットネットのP2Pネットワークを遮断する対策を説明した。だが、P2Pネットワークを遮断しても、WaledacにはDNSを使ったフォールバックシステムがある。このため、DNSへの対処も並行して実行しないと根絶することはできない。

DNSを使ったWaledacのフォールバック

 P2Pネットワークに共通する問題として、接続するノードが見つからない場合に、そのノードがネットワークから孤立してしまう事態が発生することがある。Waledacでは、アクティブ・ノードリスト中に有効なノードが見つからない場合は、あらかじめ組み込まれたアドレス(ホスト名)を参照することで、この問題を回避する(図10))。

図10●P2Pネットワークが機能しない際にWaledacはDNSを参照してリカバリーする
図10●P2Pネットワークが機能しない際にWaledacはDNSを参照してリカバリーする
[画像のクリックで拡大表示]

 つまり、スパマー・ノードで保持しているアクティブ・ノードリストすべてと接続ができない場合、スパマー・ノードはあらかじめ登録されたホスト名(bestchristmascard.comやholidayxmas.comなどの277のドメイン)のIPアドレスを、Fast Flux DNSサーバーから参照する。

 この結果として得られるIPアドレスは、一定期間オンラインであることが確認されているリピーター・ノードで、スパマー・ノードはこのIPアドレスをリピーター・ノードとして接続する。一度の参照で接続できない場合でも、Fast Flux DNSは応答するリピーター・ノードのアドレスを頻繁に更新するため、繰り返して問い合わせを実行することで、いずれは接続が可能なリピーター・ノードを見つけられる。

 中間コントローラーとメインC&Cサーバーは、感染したPCではなく、ハーダーにより設置されたサーバーで構成されている。これらのサーバーは固定的であることから、リピーター・ノードを経由したアクセスのみを受け付けるなど、意図しないアクセスを極力排除する仕組みになっている(図11) 。

図11●上位層へはリピーターノードがプロキシとして動作する
図11●上位層へはリピーターノードがプロキシとして動作する
[画像のクリックで拡大表示]