安価なDDoSボットネット「Aldi Bot」

2011.10.20

　米アーバーネットワークスは安価なDDoSボットネット「Aldi Bot」の概要をブログで説明した。Aldi Botは人気が高まりつつあり、9月30日時点のデータでは異なる50以上のAldi Botバイナリーがユーザー環境で確認され、44のユニークなマルウエア制御（C＆C）通信ポイントがあるとみられる。同社はAldi Botがロシア、ウクライナ、米国、ドイツで稼働しているのを確認している。Aldi Botはこれ以上開発が進むことはないと考えられるが、流出したソースコードは簡単に見つけて使うことができる。

　複数のセキュリティ関連コミュニティが興味深いと指摘した点は、HTTPおよびTCP攻撃をはじめ、Webブラウザー「Firefox」やインスタントメッセンジャー「Pidgin」、自動ダウンローダー「jDownloader」の機密情報窃取、SOCKS5プロキシーの作成、不正コードのダウンロードおよび実行といった機能を持っていることだ。

　Aldi Botは攻撃能力をアピールするためにデモビデオを作り、ドイツ連邦警察のWebサイト「bka.de」に対してDDoS攻撃を仕掛けている。

デモビデオの一場面

　Aldi Botのようなボットネットあるいはリモートアクセス型トロイの木馬が一つあれば、攻撃者は企業の内部に入り込む手がかりをつかみ、大規模なセキュリティ侵害を実行してしまう。さらにAldi Botはパスワードを盗み出し、そのパスワードは再利用されることもある。

　Aldi Botの作成者は、ボットが「FUD（完全に検出不可）」ではないことを示唆しているが、実際、9月22日に最初に見つかったサンプル（MD5値：c903b63346c90d29b0fe711a68a747ba）の検出率は72.7％だった。

　Aldi Botは、トロイの木馬型マルウエア「Zeus」から今年前半に流出したソースコードを流用していると憶測されているが、Aldi BotはDelphiで記述されバックエンドにPHPを用い、一方ZeusはC++で書かれ、バックエンドにPHPを使っている。一目で確認できる唯一の類似点は、いずれもドロップゾーンで盗んだデータを処理するためにWebベースのバックエンドで「gate.php」というファイル名を使用する傾向がある。

　ドロップゾーンに向かうトラフィックは次のようなHTTP GET命令を使う。

/gate.php?hwid=&pc=&localip=&winver=

　hwidパラメータの値はシステムハードウエアに応じて独自に算出される。pcパラメータはパソコンの名称、localipパラメータはシステムのローカルIPアドレス、winverはインストールされているWindowsのバージョンで、32ビットはx32、64ビットはx64が追加される。盗み出したデータがあれば、&steal=パラメータが使われる。

/gate.php?hwid=&steal=

　ボットのコマンドは以下の通り。
・StartHTTP：HTTP DDoS攻撃を開始
・StartTCP：TCP DDoS攻撃を開始
・StopHTTPDDoS：HTTP DDoS攻撃を停止
・StopTCPDDoS：TCP DDoS攻撃を停止
・StopDDoS：外見上すべてのDDoS攻撃を停止
・DownloadEx：他のコード（マルウエア）をダウンロードして実行
・CreateSocks：SOCKS5プロキシーを作成
・StealData：パスワード窃取機能を起動
・Update：ボットをアップデート

　DownloadExコマンドの使用手口としては、HTTP／ICMP／TCPフラッド攻撃機能を備える「Infinity Bot」のインストール、アンチウイルス無効化ファイル「dScriptSt4r」の実行、FirefoxやjDownloaderなど多数のアプリケーションから機密情報を盗み出す「Secure-Soft Stealer 5.20」の実行などが考えられる。

　また、C＆Cサーバーから取得したボット統計データのスクリーンショットによると、C＆C通信ポイント1カ所に対して239のボットがあるが、アクティブなボットはわずか8だった。また、円グラフは不正確なようだが、統計数値によれば最もボット感染率が高いのはオランダの57.7％で、次いで米国の10.5％となっている。

統計データのスクリーンショット

中国DDoSボットの分析

　ロシアのカスペルスキーラボは、マルウエアおよびスパム撲滅を目指す国際会議「Virus Bulletin 2011」で話題に挙がった中国のDDoSボットについてブログで説明した。中国のDDoSボットは、アーバーネットワークスによって40以上のファミリーが確認され、過去1年にわたって追跡が行われた。

Virus Bulletin 2011でのセッションの画像

　アーバーネットワークスは偽ボットを作成してボットネットの活動を記録し、複数のグループにまとめている。ファミリーの一つである「Darkshell」は、典型的な中国DDoSボットを代表するもので、ネットワークトラフィックに渋滞を引き起こす初歩的で単純な攻撃の最たる例だ。

　典型的な中国DDoSボットはC/C++で記述されている。アーバーネットワークスでは、Delphi、Visual Basic、C#で記述された中国DDoSボットは一つも検出しなかった。典型的な中国DDoSボットは高度な隠蔽手口を備えることなく、たいていサービス名やコードの文字列にひどいタイプミスがある。Windowsサービスに対しては非常に基本的なインストール手法を使い、マルウエア制御サーバー（C＆Cサーバー）とやりとりするのに一部はHTTP接続を、ほとんどがraw TCP接続を用いる。C＆Cサーバーは、無償のダイナミックDNSプロバイダーのドメイン「3322.org」や「8866.org」に登録されている。

　意外なことだが、中国製のDDoSボットは、欧米やロシアのDDoSボットと異なり一度に単一のターゲットしか攻撃しない。ターゲットは一般的に中国語のコンテンツをホスティングしているWebサイトで、攻撃は通常2時間で終了する。中国DDoSボットが次によく狙うのは米国サイトだ。これらサイトのほとんどは、中国語のコンテンツを一部扱っている。

　中国DDoSボットがほかの国のボットと異なる特徴は、攻撃エンジンが多数のDDoS攻撃機能を満載していることだ。最もよく見かけるのはWinsock2ベースのHTTPフラッド攻撃で、Webサイトをアクセス不能に追い込むのに使われ、UDP、TCP、ICMPフラッド攻撃などが続く。なお、ロシア、米国、欧州のDDoSボットでよく使われるslow HTTP攻撃は中国DDoSボットでは採用していない。

　アーバーネットワークスが追跡した中国DDoSボットの中で最もアクティブなのは「YoyoDDoS」だという。YoyoDDoSはファミリーの中で攻撃期間が最も長く、一つのサイトに対して45日連続で攻撃を実行した。中国の食品加工機器メーカーばかり狙い、同一の活動においてアイスクリームとカスタードクリーム用機器メーカーを攻撃したことをアーバーネットワークスは確認している。

　また、中国サイトばかりが狙われるわけではなく、「JKDDOS」は有名な大手金融会社や投資会社をターゲットにする傾向が強い。ニューヨークにある不動産業の持ち株会社に対してDDoS攻撃を6回実行し、最長の攻撃は33時間続いた。

パッチの遅れを生むAndroidエコシステムの問題

　スロバキアのイーセットは、米グーグルのモバイルプラットフォーム「Android」の拡大するエコシステムにおける問題点についてブログで指摘した。オープンソースは開発者が共同でコード品質を向上できる迅速性が一つの利点であり、Androidはスマートフォン市場に参入する際にこの利点を取り入れた。しかし膨大な数のAndroidアプリケーションが公開されるにつれ、脆弱性／パッチ管理が一つの問題として浮かび上がってきた。

　グーグルがAndroidのパッチをリリースした場合、ハードウエアおよびソフトウエアベンダーは各社の判断でそれを適用したり、デバイス向けに配信したりする。これにはしばらく時間がかかる。ユーザーへのアップデートが公開されると、アップデートツールを実行するまで、また時間がかかる。こうしている間に、「DroidDream」のようなマルウエアが約25万台のデバイスに感染してしまった。

　一部の人は「基本的な問題は、あまりに多くの料理人がキッチンにいることだ」と表現する。元のAndroidコードがユーザーのデバイスに届くまでには長いサプライチェーンが存在し、これを縮められないかと感じているのだ。グーグルの本来のAndroidコードは品質が高いと広く見なされているが、脆弱性を突くプログラムが進化すると、これに対抗するためにコードを進化させなければならず、タイムラグは埋まらない。

　米アップルの「iPhone」はより思い切った方法をとり、アプリケーションを審査してからアプリ配信／販売サービス「App Store」で公開する。Androidではアプリケーションの急増とオープンソースの開発環境によって、より多くの人々がかかわり、サプライチェーン全体の管理が行き届かなくなっている。

　パソコンの世界では、サードパーティーのベンダーがパッチ管理ソフトウエアを開発しているが、Androidの世界ではそのようなベンダーは見当たらない。企業環境において適時のパッチ管理は必要条件であり、企業での導入が広がる前に解決されなければならないことでもある。Android端末は消費者市場で急速に普及し、今後も好調に伸び続けるとみられるが、企業市場でも支持を集めるには、サプライチェーン管理にいくつか欠陥が残っている。