土曜日, 5月 29, 2010

5 月のスパム&マルウェアのボットネット情報

shadowserverより5月のボットネット情報が頂き、簡単なレポートを書きます。

1)ボットネットの数について
下記の画像の説明ですが、左側はボットネット感染されたマシン数、右側は実際「active」ボットネットの数です。上から下に行くと最新1ヶ月、90日間と1年間の情報です。

今年頭からボットネット数を減らす為に様々なボットネットネットワークを「サービスシャットダウン」行動を行われて、沢山ボットネットがシャットダウンになてしまいました。3月頭からボットネットに新規繋がれてしまうマシン数が増えてしまいました、これに当たって色んなセキュリティ専門方々が3月~4月と5月頭に「ボットネットサービスシャットダウン」作業をまたやり続けられました。これで5月前半はボットネット感染されたマシン数が下がりました。さらに、ボットネットのコントロールセンター(CC)に繋がっているマシン(active-connection)数を見たら少し増えてしまいます。

5月20日から現在迄、ボットネット新規数が増えるように見えます、さらにボットネットに繋がっている(active-connection)が増えてない状況です。この情報を分かったらこれから何が起きるかと↓
(1) 新しいボットネットのトロイ感染仕組みが現在動いていると思われます。
(2) 段々とメール経由のマルウェアや迷惑メールのトラフィックも増えます。

2)ボットネットのロケーション情報について

上記の写真を見て頂いたら分かるかと思います。大きい数はヨロッパ、東ヨロッパ、アメリカ(USA)にあります。少ない数は南アメリカ、アジアになります。もっと詳細な地図があり、このリンクで見えますが、昨年と比べたらアジアで最近沢山新規ボットネットCCが産まれてしまいました。大きい数から見ると場所/国的にはインド、中国、韓国、「south-east」アジア、日本とオーストラリアとなります。将来的にアジアのボットネット数がもっと増える可能性があります。
3)SNSのボットネット
現在SNS経由のボットネットの流行時期で、Twitter、Facebookユーザがやられてしまいます。SNS経由ボットネットはSDK形で売られて、非常に人気になります。5月に沢山新しいSNSボットネットのコントロールセンター(CC)が急に発見されました。原因はブラックサイトでいっぱい売れてます。下記の画像は一つボットネット販売ブラックサイトです↓

credit: shadowserver.org, panda, US CERT
---
株式会社ケイエルジェイテック
http://www.kljtech.com
スパムモニターセンター

0 件のコメント:

コメントを投稿