Conficker-スズメの大砲から

Confickerは、ワームに関連するマルウェアのファミリーです。 Confickerは、マスコミで最もよく使用される名前で、最初のバージョンのマルウェアがアクセスしたtrafficconverter.bizドメインの一部を並べ替えることによって形成されます。別のバージョンによると、この名前は英語の単語構成とドイツ語の単語ficker（英語のファッカーの同義語）に由来します。 外国のウイルス対策企業の間では、カスペルスキーの分類でキドと同様にDownadupという名前が使用されています。 最初のサンプルは2008年11月に発見されました。 2009年1月現在、世界中で約900万台のコンピューターが影響を受けています。 このような大きな数は、Microsoft WindowsオペレーティングシステムMS08-067オペレーティングシステムの脆弱性が脆弱性の自動配布に使用されているためです。 配布時に、マイクロソフトは既にこの脆弱性に対処するセキュリティ更新プログラムをリリースしていることに注意してください。 ただし、一般ユーザーは、原則として、オペレーティングシステムの継続的な更新のメカニズム（「海賊版」コピーの使用を含む）に十分な注意を払っていないという事実が重要な役割を果たしました。 残念なことに、実際にもう一度、コンピューターのセキュリティ問題を無視することが示されました。 2009年4月、ボットネットのサイズは350万と推定されました。

Confickerには5つの主要な変更があり、A（2008年11月21日）、B（2008年12月29日）、C（2009年2月20日）、D（2009年3月4日）、E（2009年4月7日）で示されます。 一部のアンチウイルス企業の用語では、それぞれ名前A、B、B ++、C、Dを使用しています。



Conficker.A



マルウェアコードはWindows Dynamic Library（PE DLLファイル）としてコンパイルされ、UPXを使用してパッケージ化されます。 コピーについては、kernel32.dllファイルから取得した作成日と変更日を割り当てて、日付でソートすることにより検出の可能性を排除します。 オペレーティングシステムのバージョンに応じて、次回のシステム起動時に異なる方法で自動起動します。 Windows 2000がインストールされている場合、コードはservices.exeプロセスに挿入されます。 それ以外の場合、svchost.exeを実行するnetsvcsというサービスが作成されます。

このバージョンには、サーバーサービス（MS08-067）の脆弱性を悪用する1つの配布方法のみが含まれていました。 これを行うために、ConfickerはランダムなTCPポートでHTTPサーバーを起動します。このポートは、他のコンピューターへのダウンロードに使用されます。 Confickerは、スキャンによりネットワーク環境のコンピューターのIPアドレスのリストを取得します。 ネットワークの高速伝播を確保するために、ワームは、メモリにロードされたtcpip.sysシステムドライバーイメージの変更とパラメーターの変更を使用して、システム内のネットワーク接続の可能な数を増やします。

'TcpNumConnections' = [dword：0x00FFFFFE '[HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters]レジストリブランチ。 次に、リモートコンピューターを攻撃します。 これを行うには、netapi32.dllライブラリでwcscpy_s関数が呼び出されると、特別に生成されたRPC要求が送信され、バッファーオーバーフローが発生します。 この結果、制御はブートローダーに転送され、ブートローダーは感染したコンピューターからConfickerをダウンロードし、実行するために起動します。 MS08-067脆弱性の再利用を防ぐため（他のマルウェアがコンピューターに感染できないようにするため）、Confickerはnetapi32.dllライブラリのNetpwPathCanonicalize関数を呼び出すためのトラップを設定し、バッファーオーバーフローを防ぎ、ホットパッチテクノロジーを実装します（再起動せずに更新をインストールしますが、実際、パッチはインストールされていません）。

管理用のコマンドセンターの名前はハードコードされておらず、5つのトップレベルドメインのプレフィックスを使用する擬似ランダムアルゴリズムを使用して、毎日250ドメインが生成されます。 したがって、作成者は、ウイルス対策会社の従業員がブラックリストにコマンドセンターのアドレスを入力して制御を失うことから身を守ろうとしました。 Confickerは、それらからインターネットから他の悪意のあるプログラムをダウンロードして起動するコマンドを取得しようとします。 さらに、彼はtrafficconverter.bizドメインに目を向け、そこからダウンロードして、loadadv.exeという固定名のファイルを実行しようとします。

ダウンロードされたファイルの置換を防ぐために、暗号化とデジタル署名を使用した暗号化アルゴリズムが使用されました。 ダウンロードしたファイルに対して512ビットのSHA-1ハッシュが計算され、RC4アルゴリズムを使用して暗号化キーとして使用されました;このハッシュは、1024ビットキーでRSAにデジタル署名するためにも使用されました。 次のオプションとは異なり、自己防衛の機能は含まれていませんでした。

Conficker.Aはウクライナのキーボードレイアウトをチェックし、この場合は自己破壊するため、Confickerがウクライナで開発されたことが示唆されています。 さらに、GeoIPデータベースはmaxmind.comからダウンロードされ、スキャンされると、そのヘルプで特定されたウクライナのアドレスは感染しません。 将来のバージョンでは、この機能は実装されていません。



Conficker.B



このバージョンでは、「弱い」パスワードを使用したネットワークリソース（ディレクトリ）とautorun.infを介して起動するUSB​​-Flashメディアに感染するアルゴリズムを使用して、「生息地」を拡大する2つの配布メカニズムが追加されました。 Confickerは、管理者アカウントでリモートコンピューターへの接続を試みます;このため、パスワードはコードで指定されたリストに従って順番に列挙されます。 選択が成功すると、ワームファイルがリモートコンピューターにコピーされ、regsvr32を使用してサービスとして実行するTask Shedulerタスクが作成されます。 USB-Flashメディアからの自動実行では、難読化されたautorun.infファイルが作成されます。dllファイル自体は、RECYCLER隠しディレクトリにvmx拡張子を持つランダムな名前で配置されます。

修正からダウンロードされたファイルの暗号保護メカニズムは変更され、 MD6アルゴリズム（2008年に開発された当時の最新）がハッシュアルゴリズムとして使用され、RSAキーの長さが4096ビットに増加しました。 このコードは、「バッファオーバーフロー」などの脆弱性や暗号化アルゴリズムの実装の脆弱性を使用するすべての潜在的な機会を排除することを著者が望んでいることを明確に示しています。

このバージョンでは、自己防衛機能が導入されました。 特に、次のサービスは無効になりました。Windows自動更新サービス。 バックグラウンドインテリジェント転送サービス。

Windowsセキュリティセンターサービス。 Windows Defenderサービス。 Windowsエラー報告サービス。 そのため、オペレーティングシステムの更新メカニズムが無効になり、Microsoftから特別な削除ツールがインストールされる可能性がありました。 インターセプトは、dnsrslvr.dllライブラリの次の関数を呼び出すためにインストールされました。DNS_Query_A; DNS_Query_UTF8; DNS_Query_W; Query_Main SendTo; NetpwPathCanonicalize; InternetGetConnectedState。 同時に、DNSサービスを介して要求されたリソースの名前は、ドメインの特定のリストへのアクセスを制限するためにフィルターされました。 そのため、メインサイトへのユーザーアクセスがブロックされました。そこでは、ウイルス対策データベースの更新または特別なマルウェア削除ユーティリティをダウンロードできます。



Conficker.C



主な変更はドメイン生成メカニズムのみに関係するため、一部のウイルス対策企業はこのバージョンをB ++と呼んでいます。 Confickerが擬似ランダムアルゴリズムを使用して生成したドメイン名を予約するConficker Working Groupの取り組みに応えて、開発者は1日あたりの数を250から50,000に増やしました。 生成には、すでに5つの代わりに8つのトップレベルドメインのプレフィックスが使用され、50,000から500が選択されました。これは、感染したすべてのコンピューターの約1％の毎日の接続を意味し、コントロールセンターの負荷を軽減しました。 たとえば、1000万という数字を使用すると、サーバーは実際に100,000台のコンピューターからのDDOS攻撃を受けたことを意味します。



Conficker.D



ドメインの生成に使用されるプレフィックスの数は8から110に増加しました。アルゴリズム開発者のRonald Rivestによって作成され、2009年2月19日に公開されたMD6タイプ「バッファオーバーフロー」の実装のエラーが修正されました。 自己防衛システムが改善されました-「セーフモード」で起動する機能がオフになり、名前に特定の行が含まれるプログラム（アンチウイルスプログラム）のプロセスを終了しようとしました。

独自の配布のメカニズムは完全に削除されました。 更新のためのピアツーピアメカニズムが導入されました。 ワームの他のコピーから情報を受信するために、2つの「サーバー」ストリームが作成されます。1つはTCP上で実行され、もう1つはUDP上で実行されます。 p2p実装の興味深い機能は、ピアの元のリストの拒否です。 このリストは通常​​、実行可能コード内で指定されるか、パブリックサーバーに配置されます。 Confickerは、IPアドレスをスキャンしてピアを見つけます。 見つかったIPアドレスごとに、Confickerが機能しているかどうかを確認しました。 その場合、リモートコピーと通信するための「クライアント」スレッドが作成されました。 スキャン中に、アンチウイルス会社のアドレスのブラックリストのIPがチェックされましたが、それらはアクセスされません。 サーバーストリームは、接続されたクライアントのアドレスをピアリストに追加しません。 ワームの現在のバージョンがリモートバージョンと一致する場合、アドレスはクライアントスレッドによってのみ追加されます。 異なるバージョンの場合、最新のバージョンは、サーバーからクライアントによって、またはクライアントからサーバーによってダウンロードされます。 p2pメカニズムは、ダウンロードされたファイルを後続の「配布」のために保存するモードと、アドレス空間でストリームとして起動モードの2種類の配布を提供します。 これにより、実行可能コードをファイルとして保存せずに実行中に置き換えることができます。 同時に、生成されたドメインによってダウンロードされたファイルが起動され、実行中のConfickerに関係なく機能します。



Conficker.E



繰り返しになりますが、いくつかのイノベーションが導入されました。 たとえば、感染のために利用可能なIPをスキャンし、（P2Pメカニズムを介して）更新を送信する手順は、インターネット上のチャネル幅を推定し、この評価に従って、その配布とスキャンアクティビティを規制します。 これは、LAN管理者の注意を引き付けないようにするためです。 別の機能は、その配布のためのネットワークインフラストラクチャの変更です。 感染アルゴリズムでは、Confickerコードをダウンロードするために、感染ホストが感染ホストとの接続を開始する必要があります（エクスプロイトMS08-067が正常にトリガーされた後）。 通常、モデムとルーターにインストールされたファイアウォールは、このアクティビティをブロックします。 さらに、感染したコンピューターはNATの背後にある可能性が高いです。 したがって、Confickerはローカルネットワークのゲートウェイを事前に検出します。 これを行うには、ネットワーク全体にメッセージをブロードキャストする独自のSSDPサーバーを実行します。 SSDPをサポートするネットワークデバイスが応答を送信します。 この方法でゲートウェイを検出すると、ワームはUPnPメカニズムを介して機器を再構成し、ゲートウェイが反対方向に（内部の外部ネットワークから）通過するチャネルを作成し、このチャネルを使用して他のコンピューターに感染します。

感染手順は、MS08-067の脆弱性を悪用して返されました。

現在の日付が2009年5月3日以降の場合、Conficker.Eは自身を削除しましたが、コンピューターに以前のバージョンを残しました。

最後に、このバージョンから「利益の収益化」が始まり、2種類のマルウェアがダウンロードされました。 1つ目は、ウクライナにあるサーバーからダウンロードした偽のSpyware Protect 2009アンチウイルスです。 開始すると、システムで検出されたウイルスに関するメッセージを定期的に表示し、治療の可能性がある有料のフルバージョンを購入することを申し出ます。 2番目は、2009年1月に発見されたKaspersky Labの分類によるとIksmaとしても知られるWaledacトロイの木馬です。 Waledacの主な機能は、個人情報の盗難とスパムです。 2010年2月、バージニア州連邦裁判所はMicrosoftに訴訟を認め、Waledacボットネット管理システムに関連する277ドメインを一時停止することを許可しました。 これらのドメインはすべて、アメリカの会社であるVeriSignが運営する.comゾーンに登録されていました。



あとがき



Conficker分析は、非常に矛盾した感情を呼び起こします。 一方で-非常に高いレベルの思考。 一方、最終的に広まっている「ペイロード」は、攻撃者が支払いシステムのアカウントを盗むなど、標的のコンピューターに任意の数のマルウェアをインストールする非常に大きな機会を持っていたという事実にはまったく適合しません。 つまり-スズメの銃から。 開発者は主に研究目標を追求したようです。 ウクライナがこのマルウェアの発祥の地であるかどうかはまだ明らかではありません。 一部の研究者は、MS08-067脆弱性の有効なエクスプロイトが中国で最初に登場し、そのコードはConfickerでほぼ完全に再現されていると指摘しています。 ベトナムのコンピューターセキュリティ会社BKISは、Confickerが中国で作成されたと主張しています。 BKISの専門家は、Confickerワームは、2001年の流行の犯人であるNimdaと共通するコードを分析した後、中国から来たと結論付けました。 Nimdaは中国で開発されたと考えられています。コードがこの国の兆候を発見したためです。 公式には、これらのデータは確認されていません。



参照：



シマンテックの分析レポート「The Downadup Codex」 、エディション2.0（eng、pdf）。

バージョンA、B、B ++の機能の分析©SRI Internationalから© Confickerのロジックとランデブーポイントの分析 （eng、htm）。

SRI International Conficker C Analysis （eng、htm）のバージョンC（D）のパフォーマンス分析。

SRI International Conficker C P2Pリバースエンジニアリングレポート （eng、htm）のピアツーピアメカニズムの説明。