水曜日, 5月 04, 2011

【マルウェア情報】現在マルウェアの感染メカニズム =「ボットネット」メカニズム

前回別のブログ内容で~4月のマルウェアメール情報と海外と日本国内マルウェア状況
の関係があると説明しました。

丁度GW中でITセキュリティボランティアをやっていいたので、色んな最新情報交換と詳しい研究時間が出来たので、現在どんなメカニズムでマルウェアが動いているのか簡単に説明します。

現在マルウェアのディストリビューション仕組みは上手く出来た仕組みだと思いますので、マルウェア・メカニズムとなります。毎年このメカニズムに動いているマルウェアが多くなります、証拠は下記のマルウェアハンドルチームのDB ↓

結構色んな所に沢山種類マルウェアが登録されています↓


マルウェア・メカニズム形の確認が中々難しいけど、色々調べて分かりました。実は大きい仕組みが動いています。毎日我々は見ているのはこのメカニズムの影響だけです。未だ100%になってないけれども大体マルウェア・メカニズムは下記のグラフとなります↓


次回のブログ内容書いた通り、マルウェアが出来上がったらボットネットの管理者/オーナーに取引の上で渡すので、そこからどうやって回されるか説明しますが、ボットネット、Vulnerability/EXPLOIT情報も関係があるので、一緒に説明します。
下記のグラフは説明のコンセプト↓


毎日ボットネット管理者/オーナーが自分の持っているボットネットZOMBIE台数を増やすように頑張っています。ボットネットの台数が大きくなるともっと沢山お金仕組みが作れるのでこれは目的です。単純ですね。毎日ボットネット対セキュリティチームが戦うので、その結果はブラックリストドメインの一覧となります、下記は1つの一覧ソースサイト↓


沢山サイトがあるから、私ですと色んなサイトを纏めてリアルタイムで船体が見えるように仕組みを作りました、こんな感じ↓


この”モニトリング”に付いてボットネットオーナーが何が遣っているか説明します。例えば下記のドメインがブラックリストに入ったら

このドメインは大体4日間ぐらいばれている状況で色んなブラックリストに入っていますと、そのドメインに使ったマシンも段々と少なくなりますね、例えば↓


ボットネットオーナーがこの状況が分かったら別のマルウェアドメインを用意していると、その新しいドメインは例えば下記の今日発見された物↓

↑上にあるドメインには沢山ボットねとZOMBIE台数が入っています、本件は危険な動いているボットネットです、台数が多いので、その台数が対応出来る様に色んなマルウェアサイトにもリンクされている状況となります、上記に書いたドメインのIPアドレスを下記の画像がリンクされています。


どんな目的でボットネットオーナーが頑張っているかというと、彼らは大きいディストリビューションが出来るネットワークが欲しいわけです。詰り、下記のボットネット、殆ど沢山ASNが入っているネットワークですね。

では、ドメインが沢山アップされたらボットネットの人達は何するかと、色んなマルウェアツール、ハッキング情報ツール(Exploitツール)をそれぞれのサイトに入れているわけです。アップ出来たEXPLOITツールはボットネット管理者で下記のソフトを使って管理していると↓


そのEXPLOITツールは実はセキュリティVULNERABILITY情報DBが持っています、そのDBを更新されています。更新方法はセキュリティサイト又はセキュリティツールからの情報を遣って行進されています、下記のように↓


EXPLOITツール開発者も毎日上記に書いたDBを更新する、沢山DBが持っているツールがハッカーの世界には有名になるので、人気となります、下記のPOPULARITY情報です↓


殆どEXPLOITツールが下記のクライアントのセキュリティ問題を攻撃してマルウェア感染仕組みを動かします、その時にトロイマルウェアがユーザのPCに入ってしまうと↓


トロイに感染されたら下記のマルウェアサイトに飛ばされて、又は直接ウェブブラウザからも感染仕組みに作られます。このサイトから殆ど本物のウイルスのリンクが持っています↓


↑上記の仕組みは現在結構流行っていますので、仕組みよりもメカニズムの形になってしまいましたが、1回大きい動きがあれば直ぐにオートブレーキ状況が作れるかと思われます。結論では、この情報も理解しましょう。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿