👉🏿 🕉️ 👩🏼‍⚖️ ボットネットを閉じる方法 🏞️ 👩🏿‍🚀 👨🏽‍🏭

最近、Runetのボットネットについて多くのことが言われています。これは主に、既知および訪問済みのリソースに対するDDoS攻撃によるものです。以下では、この惨劇との戦いにおける大企業の経験について説明します。

ボットネットとは何ですか？

ボットネットは、悪意のあるコードに感染し、一元管理されるシステムの集合です。さらに、十分な数のノードの破壊またはシャットダウンが全体としてのパフォーマンスに影響を与えないように構成されています。ボットネットは、スパム、フィッシング、DDoS、他のシステムへの攻撃、新しいPCへの感染、ボットネットノードへの変換などの目的に使用できます。現時点では、サイバー犯罪業界は犯罪の専門化と焦点によって非常に強く区分されていることに注意してください。これは、誰もが自分のことをやっているということです。その結果、ボットネットの作成者は、特定のタイプの犯罪に特化した他のサイバー犯罪者にボットネットのリソースまたはサービスを販売しています（図に典型的なビジネス構造を見ることができます）。ボットネット制御インターフェースが非常にシンプルであることは注目に値します。資格が非常に低い人でも対応できます。曇りの傾向に従って、最近、サービスMalware as a Serviceを開始しました。誰かが悪意のあるコードを作成して配布できない場合、特定の価格でこれを実行できるプロバイダーが常に存在します。ただし、今日ボットネットを作成することも大したことではありません。 Zbot（Zeus）、Spyeye、Mariposa、Black Energy、ButterFly、Reptileなど、多くの既製のボットネットキットが市場に出回っています。これは、現代のボットネットの所有者が特別な技術的スキルさえ持っていないことを意味します。ただし、大規模なボットネットについて話すと、その作成者はもちろん有能で才能のある人であり、対処するのは非常に困難です。この資料の一部として、大企業がサイバー犯罪、特にボットネットと戦うために使用しているプラクティスについてお話したいと思います。これは、特に、私が働いているマイクロソフトの活動に焦点を当てます。

標準ボットネット管理アプローチ

マイクロソフト対ボットネット

おそらくこれは誰かを笑わせるかもしれませんが、過去数年にわたってマイクロソフトでは、製品とサービスのセキュリティを改善するための真剣な仕事がありました。安全なSDLコードを開発するための方法論が登場し、適用され始めました。これは、最近発見された脆弱性（特に悪用される可能性のある脆弱性）の数に大きな影響を与えました。しかし、今日は、将来の脅威を防ぐことができる予防措置についてではなく、今日関連する問題と戦うことについて話します。 Windowsオペレーティングシステムで実行されている多数の感染マシンは、まさにそのような問題です。

多くのサイバー犯罪部門が社内に作成されました。後者には異なる名前があります-デジタル犯罪ユニット、マイクロソフトセキュリティレスポンスセンター、信頼価値コンピューティング-しかし、誰もがサイバー犯罪の問題と何らかの形で重複しています。法執行機関や研究機関と協力して、マイクロソフトは最大のボットネットを破壊するための運用を開始しました。大声で聞こえますか？おそらく、しかし、1年で次のようなボットネット：

世界のスパムの80％を送信したRustock。
Corefloodは、1億ドル以上の損失をもたらした犯罪のツールとして機能しました。
ボレタが毎日15億のスパムメッセージを送信したWaledac。

ボットネットとの戦い：一般的な慣行

ボットネットを破壊する一般的な方法を理解するには、そのアーキテクチャと弱点を理解する必要があります。ほとんどの場合、Command＆ControlまたはC＆Cと呼ばれる1つ以上のコマンド（多くの場合、中央）サーバーがボットネットの制御に使用されます。異なるプロトコルを使用して、ボットネットのエンドノードと対話します。最も一般的に使用される制御プロトコルはIRCです。ただし、近年では、技術的に洗練されているものの、より安定した代替手段としてのP2Pプロトコルの使用が急激に増加しています。最近、興味深いエキゾチックなものは、ボットネット制御のためのファイル共有ネットワークの使用と、Facebookで公開された写真の本文での制御コマンドの転送です。何らかの方法でボットネットと戦うために、いくつかの特定のアクションを実行できます。

C＆Cノードをキャプチャまたは無効にします。
C＆Cノード上のDDoS。
C＆Cノードがホストされているプロバイダーへの苦情。
C＆Cで使用されるDNS名のキャプチャ。
IPブロッキング
ボットネットの所有者の逮捕。
訴訟。

残念ながら、これらの方法のすべてが効果的であるわけではなく、一部は完全に違法です。一方、私たちはそれらのいくつかをうまく適用することに成功しました。そのため、RustockおよびCorefloodボットネットは非常に些細なことに破壊されました。これは、法執行機関がC＆Cサーバーを押収することで可能になりました（予備的な裁判所の決定による）。その後、ボットネット開発者によって提供された、ボットネットに含まれるすべての感染マシンにマルウェアを削除するコマンドが提供されました。別のボットネットであるWaledacを閉じる作業はさらに興味深いものであることが判明したため、この点について詳しく説明したいと思います。

Waledac階層化管理アーキテクチャ

Waledac：デバイス

Waledacの課題は、分散型ボットネットスキームでした。彼の仕事のために、277以上のドメイン名が予約されました。これは、異なるホスティングプロバイダーから複数のデータセンターでサーバーを同時にキャプチャする必要があったことを意味します。さらに、P2Pメカニズムを使用してボットネットを制御することに成功しました。ボットネット図を見ると、多層管理サーバーがすぐにわかります。 Waledacを使用した感染プロセス中に、悪意のあるコードが新しいノードの役割を決定します。 NATの背後にあり、ポート80への着信接続を受け入れない場合、スパムを送信する単純なノード、またはセンターからコマンドを繰り返す（リレーする）ノード、つまり一種のリピーターになります。リピーターは、ボットネットを制御するために使用されます。各リピーターは、制御コマンドをスパマーに送信することに加えて、P2Pプロトコルを介して接続できるリレーとしても機能する100個のノードで構成される「ネイバー」のリストも保持します。時間の経過とともに、どのリピーターノードもそのドメイン名を高速フラックスDNSに登録します。これは、最も近いリピーターが突然故障してアクセスできなくなった場合に、スパマーが自分自身に連絡できるようにするために行われます。したがって、ボットネットノードは常に最も近いリレーノードを見つけ、そこから実行可能なコードのコマンドと更新を受信できます。ボットネットは、時間の経過とともにノードの役割が変化するように設計されています。たとえば、リピーターとして使用されるシステムが企業ネットワークに入り、80番目のポートで接続を受け入れることができない場合、スパマーの役割を自動的に受け取ります。同時に、リピーターのもう1つの目標はボットネットトポロジの調査に対抗することであるため、ボットネットトポロジを分析することはそれほど容易ではありません。これは一種のプロキシとして機能し、スパマーがC＆Cコントロールノードについて何も知らないようにします。

各リピーターは近隣のリストを維持します

ワレダック：破壊

ボットネットのアーキテクチャを分析した後、次の特定の手順でボットネットを攻撃する計画を立てました。

管理チームの交換のためのピアツーピアメカニズムの違反。
DNS / HTTPコマンドの交換の違反。
CおよびCサーバーの上位2層の違反。

最初のステップは、P2Pメカニズムを中断することでした。ボットネット内で最も近いリレーを見つける機能が不安定であるという事実により、ノードは、動作中の隣接するリピーターを見つけるために、「近隣」のリスト内で最大20個のアドレスを通過しなければならなかった可能性があります。これにより、偽のリピーターを作成し、それらをボットネットに含めて、リピーターのリストに偽の更新を配布し始め、それによってP2P管理システムの接続を中断することができました。これにより、特別に作成されたMicrosoftコマンドサーバーからスパマーにコマンドを送信できました。

P2Pメカニズムが動作しない場合、ボットネットノードは高速フラックスDNSメカニズムを使用して相互の検索を開始します。したがって、攻撃者がボットネットの制御を取り戻すことができないように、この制御方法を破壊する必要がありました。ここでは法的メカニズムを使用したため、これは興味深い点です。「Uniform Domain-Name Dispute-Resolution Policy」という恐ろしい名前の手順を使用して、ICANNを介してDNS名を取り消す一般的な手順には、かなり時間がかかる場合があります。これにより、攻撃者は自分が攻撃していることを認識し、新しいDNS名を登録するための措置を講じることができます。この名前は、後でボットネット制御に転送されます。そのため、標準のICANN手順の代わりに、「TRO（一時的抑制命令）」手順を使用しました。これは、米国連邦裁判所の決定によりドメインを28日間一時的に停止する機能です。この段階でのもう1つの問題は、DNS名の一部が中国で登録されたことです。

攻撃者が法廷でマイクロソフトと競争するために、ボットネットに対する権利を主張したい場合は、主張の声明がサイトで公開されています。また、容疑者がボットネットを制御した国の全国紙も召喚状を発行しました。予想通り、誰もあえて法廷に出てボットネットに対する権利を宣言しませんでした。したがって、Microsoftは米国と中国の裁判所で勝訴しました。 MicrosoftのWebサイトの特別なセクションで、ボットネットの闘争の法的な複雑さとin余曲折について詳しく読むことができます。

これらの法的措置の結果、DNSの権利はマイクロソフトに渡されました。 DNS名は現在、Microsoftサーバーに接続されています。感染したノードがボットネットからこれらのサーバーに接続されている場合、Waledacボットから悪意のあるコードを削除するように命令するコマンドがそれに送信されます。

ドメイン名登録

MicrosoftサーバーをWaledacに接続する

おわりに

このようにして、インターネットからWaldacボットネットの最後の遺物を徐々に取り除きたいと考えています。サイバー犯罪者が将来ボットネットを作成するのを防ぐために、Microsoftは証拠の調査と収集を続けています。この目的のために、 Rustockの背後にある犯罪グループの逮捕を助長する情報を提供する人に、250,000ドルの報酬を提供しました。私たちの経験では、このアプローチはうまくいくかもしれません。結論として、将来マイクロソフトはサイバー犯罪に積極的に対処し、利用可能なあらゆる手段でサイバー犯罪者を追跡するつもりであると言いたいと思います。

みんな好きじゃない

ボットネットがWindowsマシンのみで構成されていると想定するのは無謀です。 Linux / Unixにはボットネットがあります-Psyb0t、Chuck Norris、数十万のデバイス。基本的に、これらのボットネットは、低価格帯のホームルーター、スイッチ、およびNASから作成されます。このようなボットネットを破壊することは、ほとんどの場合、ホームユーザーがLinuxの知識とデバイスのファームウェアを更新するスキルを持たないため、非常に困難です。デバイスの製造業者は、デバイスの急速な陳腐化に関心があり、多くの場合、欠点を解消することを意図していないだけでなく、製品を集中的に更新するメカニズムも持っていません。 2009年の調査によると、インターネットではいつでも、古いファームウェアとデフォルトのパスワードを備えた数百万台の家庭用デバイスを見つけることができます。

ハッカーマガジン、 10月（10）153

アンドレイ・ベシュコフ 。

ハッカーを購読する

ボットネットを閉じる方法