共同作戦でボットネット「Beebone」を閉鎖
トレンドマイクロは、長らく活動を続けてきたボットネット「Beebone」を閉鎖に追い込む、官民協力共同作戦に参加しました。この作戦は、ボット掃討作戦「Operation Source」と呼ばれ、米連邦捜査局(FBI)も支援する中、「欧州刑事警察機構(ユーロポール)」や世界各国の法執行機関とセキュリティベンダを中心とした官民協力の共同作戦です。
2015年4月8日、多数の法的機関や民間企業とともに、ユーロポールの「欧州サイバー犯罪センター(EC3、European Cybercrime Centre)」は、ボットネット掃討作戦「Operation Source」を実行。不正プログラム「AAEH」(トレンドマイクロでは「VOBFUS」として検出)の脅威を撲滅するため、およそ100のコマンド&コントロール(C&C)サーバのドメインが閉鎖されました。なお、この脅威は「Intel Security / McAfee Labs」により初めて確認されました。
「AAEH」(「VOBFUS」)は、ポリモーフィック型の不正プログラムであり、自身が侵入した感染コンピュータへ、さまざまなタイプの他の不正プロセスを侵入させる際に利用されます。
このボットネット閉鎖に関する詳細情報は、以下の記事をご参照ください。
- 米国地域についての情報:US-CERT Alert (TA15-098A)
- ヨーロッパ、中東およびアフリカ(EMEA)地域についての情報:Europol's EC3
サイバー犯罪へ対抗するためには、このような官民の協業が必要です。セキュリティ専門家は、脅威に関する知見や情報を積極的に提供することが可能であり、法的機関は、そうした知見や情報を捜査に必要としているからです。法的機関では、こうして提供された情報や証拠を駆使し、サイバー犯罪者の逮捕や告発に至る捜査を行います。結果、サイバー犯罪者の一掃を望むすべてのインターネットユーザの安全が確保されます。
弊社は、サイバー犯罪を阻止し、ユーザや企業の損失を防止するため、今回の共同作戦だけでなく、これまでも法的機関と緊密に連携してきました。
トレンドマイクロは、これまでどのようなボットネットの閉鎖に貢献してきましたか
弊社は、ボットネットを閉鎖してその活動を終了させるため、世界各国の法的機関や政府系捜査機関と強固なパートナーシップを結んで貢献してきました。お客様と共にインターネット全般の安全は、われわれの最優先事項であり、これらの機関の活動を支援することが、お客様の感染被害を未然に防ぐ上で有効な施策になると考えています。
2011年、弊社の専門家は、FBI およびエストニア警察と共に、「Operation Ghost Click」 と呼ばれる共同作戦を実施し、400万のボットで構成されたボットネット閉鎖に成功しました。この共同作戦では、100以上のサーバから成るC&Cおよび2つのデータセンターをオフライン化しました。また、サイバー犯罪グループ「Rove Digital」のメンバー複数の逮捕にも至りました。このグループは、エストニアを拠点にし、この巨大ボットネットの不正活動で暗躍していました。
2014年6月にも、弊社は、オンライン銀行詐欺ツール「Gameover」のネットワークの閉鎖に際してFBIへ協力しました。この不正活動で利用されたオンライン銀行詐欺ツールは、コマンド&コントロール(C&C)サーバへの通信に P2P通信を利用するため、ネットワークの完全な閉鎖が困難であるとされていました。
「Operation Source」で把握していた詳細
ボットネット掃討作戦「Operation Source」で把握していた詳細は、以下のとおりです。
「TROJ_HPMYAPP」
「TROJ_HPMYAPP.SM」は、今回の脅威において専用のパッカー(”ハッキング用”パッカー)を使用する不正プログラムのトレンドマイクロの検出名です。
パッカーは、もとより圧縮(暗号化)のツールとして正規の目的で使用されるものですが、セキュリティソフトの検出を回避したり、不正プログラムのコンポーネントの隠ぺいしたりする目的で悪用される可能性もあります。こういった専用パッカーの侵入経路は、パッカー自体がどの不正プログラムにもたらされるかによって異なります。今回の場合、不正プログラム「AAEH」(「VOBFUS」)によってもたらされます。この不正プログラムの詳細は後述します。
専用パッカー「TROJ_HPMYAPP.SM」は、侵入したコンピュータ上に ”myapp.exe” というファイルが存在するかを最初に確認します。存在する場合は自身を終了します。これは、不正プログラム作成者が、自分たちが使用するコンピュータへ感染するのを防ぐために設けた機能であると考えられます。
こうしてコンピュータ内のチェックを完了すると、専用パッカーは、自身に埋め込まれていた不正プログラム「VOBFUS」を復号した上で実行します。
特定の仮想環境モジュールを確認した後、メモリ内に「VOBFUS」を展開して実行します。
なお、この専用パッカーは、2015年1月初旬にオーストラリア・ニュージーランド地域で確認されたランサムウェア「TorrentLocker」による一連の攻撃で利用されたパッカーと類似していることを、弊社の解析エンジニアが確認しています。この点だけから双方の攻撃の関連性は断定できませんが、専用パッカーによるこの手法がサイバー犯罪者により一般的に利用されていることは事実だといえます。
「VOBFUS」
「AAEH」(トレンドマイクロでの検出名は「VOBFUS」。以下、この検出名のみで言及」は、メモリ内で展開された後、特定の文字列でコンピュータ内を検索し、自身が仮想環境下で実行されているかどうかを確認します。これは、セキュリティベンダによる解析作業を回避するための典型的な手法です。不正プログラム作成者は、こうした解析作業を想定した上で先手を打っているようです。仮想環境下であることが確認された場合(セキュリティベンダの解析エンジニアが解析していると想定し)一切の不正活動を実行しません。
仮想環境下でないことが確認された場合、「VOBFUS」は、拡張子 ”LNK” のファイルやショートカットファイルをリムーバブルドライブ内へ作成し、自身のコピーへ誘導するように仕込みます。また、ファイル名を ”Love You.exe” や ”Nude.exe” などにすることで、ユーザのクリックを促します。
さらに、コンピュータ上に存在している一般的な拡張子のフォルダやファイルを利用します。これにより、これらのフォルダやファイルを開いたり実行する前に、「VOBFUS」のコピーが実行されるようなります。
また、「VOBFUS」は、特定のリモートDNSサーバへの通信を試みます。通信が確立すると、不正リモートユーザからのコマンドを受信します。
「VOBFUS」が他の不正プログラムのダウンロードに利用される可能性にも留意が必要です。「VOBFUS」を削除しても、ダウンロードされた別の不正プログラムによる二次感染の可能性を取り除いたことにはならないからです。
ネットワーク上の痕跡
ボットネット掃討作戦「Operation Source」では、今回の不正プログラムで発生するネットワークトラフィックとして、以下のような痕跡も確認しています。
- timechk[1-9]{1,2}.[com|net|org]
トレンドマイクロの製品をご使用のユーザは、この脅威から守られていますか。
はい、守られています。「脅威情報の収集」および「脅威の特定・分析」を行うクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」が搭載されたトレンドマイクロ製品は、その中の「Webレピュテーション」技術により、この脅威に関連する不正な ネットワークトラフィックやC&Cサーバとの通信をブロックします。「ファイルレピュテーション」技術は、上述の不正プログラムを検出し、削除します。「ウイルスバスター クラウド™」、「ウイルスバスター™ コーポレートエディション 11」、「ウイルスバスター™ビジネスセキュリティ」をご使用のユーザは、この脅威から守られています。なお、トレンドマイクロ製品をご利用でないユーザは、無料の「トレンドマイクロ オンラインスキャン」を利用して感染の有無を確認することが可能です。
※「 Operation Source」の進展に伴い、この記事も更新される可能性があります。ご了承ください。