【コラム】

ITセキュリティのアライ出し

27 マルウェア作成キットの歴史~過去から現在へ(中) - Agobotが現れた!

27/47

クルニコワ・ウイルスの登場以後、マルウェア作成キットに対して認知されたある種の考えがあると筆者は考える。それは「マルウェア作成キットはスクリプトキディの使うような代物」である。ある意味「他人のふんどしで相撲を取る」にこれは近いかもしれない。その上、このころ一般に出回っていたマルウェア作成キットの作り出すマルウェアには、感染したPCからデータを盗み出すといった機能は含まれなかったのである。また、Outlook Expressに標準で大量メール送信型マルウェアの対策が備え付けられたことも付記しておく価値があるだろう。このようにして、マルウェア作成キットの存在は一笑に付されるようになっていった。

ボット時代の到来とマルウェア作成キット

時はさらに移り、金銭目的のマルウェアが続々とリリースされるようになった。その最たる例がボットであるといわれている。そのボットを調査していた情報セキュリティ関係者を驚愕させたマルウェア作成キットの発見がある。Agobot(Phatbotとも呼ばれる)生成キットの存在である。

通常、ボットネットを作成するためには開発環境を使用して、ボットのソースコードに、たとえば以下のような情報を記述し、編集した上でコンパイルする必要があった。

  • C&CサーバのIPアドレス、ポート
  • バックアップC&CサーバのIPアドレス、ポート
  • ハーダの認証パスワード
  • IRCチャンネル名、JOINパスワード、ニックネーム
  • スニッファによって収集された情報の出力先IRCチャンネル名
  • プロセスではなくサービスとして感染を継続させるかどうか

しかしAgotbot生成キットは、プログラミング言語に関する知識を持ち合わせていないとしても、上記を埋めることさえできれば、オリジナルのボットを作成することができてしまう。しかも、脆弱性のあるPCを攻撃することで自己伝播することも、特定のホストに向かってDDoSを実行することも、感染したPCのデータを盗み出すこともできてしまうのである。こういう状況が加味されると、もはや「スクリプト・キディの使うような代物」と看過することはできなくなったのである。

Agobot生成キット

たかがマルウェア作成キット、と笑っていることのできなくなった状況をもたらしたAgobotは、およそ以下のような機能をもつ。

  1. 感染PCに搭載されているCPU、RAM容量、HDDの容量といったシステム情報の収集
  2. C&Cサーバへの接続、切断、チャンネルの変更
  3. 特定のファイルのダウンロードと実行
  4. 特定サイトへのリダイレクトを可能にするProxy
  5. SMTPサーバへのリダイレクトを可能にするProxy
  6. PPTPを使用したVPNトラヒックのリダイレクト
  7. http/ftpを使用した特定サイトからのダウンロード(自己更新)
  8. 感染PCの再起動・シャットダウン
  9. プロセス一覧の取得、プロセスの停止
  10. サービス一覧の取得、サービスの開始・停止・削除
  11. 感染PCに保存されている電子メールアドレスの窃取
  12. 感染PCに保存されているゲームなどのシリアル番号の窃取
  13. 特定の日付・時刻に発生させるタスクの設定
  14. 別のホストへのネットワークを通じた感染活動
  15. UDP flood、SYN flood、http(GET) flood、ICMP floodといった各種DDoS攻撃の実施
  16. (他のボット感染を阻止するため)感染PCへのセキュリティ修正プログラムの適用

このような多くの機能を持つAgobotであるが、多機能であるゆえにその操作も煩雑な部分があり、マニュアルとFAQがHTMLで添付されている。このマニュアルとFAQに記載されている「十徳ナイフ(Swiss Army knife)」のように、まさに至れり尽くせりの代物といえよう。

Agobotのコマンドマニュアル

また、AgobotのFAQには以下のような文がある(抄訳):

問) Agobotを自分専用のバージョンにするにはどうしたらいい?
答) このコードを改変し、さらに洗練されたものにすることか、あるいは私にコンタクトして、代金を支払うことである。

問) Agobotの自分専用バージョンの価格は?
答)

  • 最小バージョン($50) アップデートなし(バグ修正はオプションで$10)
  • 標準バージョン($100) アップデート込み、ネットワーク経由の感染手段の追加
  • プレミアムバージョン($250) アップデート込み、ネットワーク経由の感染手段の追加、Linuxにも感染可能

すべての支払いはpaypalを通じて可能である。また、ボットネットの販売、レンタル、共有も可能であるが、それらについては別途問い合わせいただきたい。

このように、Agobotのソースコードが出回るようになった約4年前から、マルウェアの生産という「悪の産業」が生まれようとしたのである。

27/47

インデックス

連載目次
第47回 今年で7回目の開催になる日本的なCTFを見学してみた
第46回 EAF出撃す
第45回 再会、EMET
第44回 世界のカンファレンスの景色から - RECON その6
第43回 世界のカンファレンスの景色から - RECON その5
第42回 世界のカンファレンスの景色から - RECON その4
第41回 世界のカンファレンスの景色から - RECON その3
第40回 世界のカンファレンスの景色から - RECON その2
第39回 世界のカンファレンスの景色から - RECON その1
第38回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する その2
第37回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する
第36回 続・EMET - メモリアドレスを攻撃者より先に確保せよ
第35回 久々登場! "アライ出し・再生"の一発目はWindowsセキュリティ
第34回 実在するマルウェアのホスティングサービス - 迷惑メールとマルウェア(3)
第33回 感染先の選り好みをするマルウェア - 迷惑メールとマルウェア(2)
第32回 難読化するマルウェア - 迷惑メールとマルウェア(1)
第31回 ボットネットの観測方法をさらに詳しく分析する(2) - Krakenの狙いとは
第30回 ボットネットの観測方法をさらに詳しく分析する(1) - Obfuscationの実際
第29回 Kraken騒動とボットネット観測方法への賛否両論
第28回 マルウェア作成キットの歴史~過去から現在へ(下) - Pinchが作った量産体制
第27回 マルウェア作成キットの歴史~過去から現在へ(中) - Agobotが現れた!
第26回 マルウェア作成キットの歴史~過去から現在へ(上) - VCLからクルニコワまで
第25回 iPhoneの解析が進行中 - "Black Hat Japan 2007"見聞録
第24回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(2)
第23回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(1)
第22回 Windowsにおけるバッファオーバーフロー(6)
第21回 ウイルス分析合宿中につき…「世界のホシザワにしごかれるの巻」
第20回 Windowsにおけるバッファオーバーフロー(5)
第19回 2006年を振り返る
第18回 Windowsにおけるバッファオーバーフロー(4)
第17回 Windowsにおけるバッファオーバーフロー(3)
第16回 Windowsにおけるバッファオーバーフロー(2)
第15回 Windowsにおけるバッファオーバーフロー(1)
第14回 検索エンジンと情報セキュリティ(2)
第13回 検索エンジンと情報セキュリティ(1)
第12回 PoCの内側 - Heap Spray(2)
第11回 PoCの内側 - Heap Spray(1)
第10回 標的型攻撃に関する一考察(7) - 対策とまとめ
第9回 標的型攻撃に関する一考察(6) - 脆弱性発見手法の進化(後編)
第8回 標的型攻撃に関する一考察(5) - 脆弱性発見手法の進化(中編)
第7回 標的型攻撃に関する一考察(4) - 脆弱性発見手法の進化(前編)
第6回 標的型攻撃に関する一考察(3) - 関連資料から探る脅威の実像(後編)
第5回 標的型攻撃に関する一考察(2) - 関連資料から探る脅威の実像(前編)
第4回 標的型攻撃に関する一考察(1) - 0-day Exploit利用形の頻発
第3回 コンピュータウイルスの過去・現在・未来(2) ウイルスに寄生するウイルス
第2回 コンピュータウイルスの過去・現在・未来(1) ウイルスの捕食-被食関係
第1回 統計から読み取るRootkitとボットの関係

もっと見る

関連キーワード


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

求人情報