カリフォルニア大学の研究者は、ハッキングされたTorpigボットネットの分析結果を発表しましたが、それはそれほど前に制御を奪い取ることはできませんでした( PDF )。 残念ながら、10日後にクライアントモジュールが更新され、それらとの通信が失われました。 ただし、この間に収集された情報により、ボットネットがどのように機能し、どの程度効果的であるかを詳細に調べることができます。 この期間中、70 GBの情報がボットネットを通過しました。これらは、ブラウザ、メール通信、さまざまなパスワードで入力可能なフォームです。 専門家が文字通り1時間で56,000個のパスワードを解読できたことは興味深い。
彼らは、クライアントマシンがまだ登録されていないドメインのリストを生成する方法を解読することで、Torpigボットネット(Sinowalとも呼ばれる)を制御することができました。
研究者は、これらのドメインの1つを登録し、管理サーバーを上げることができました。 ボットネットの10日間の制御では、180,000の感染したPCと、リクエストを受信した120万を超えるIPアドレスを記録しました。
Torpigは、財務情報の収集を専門としています。 わずか10日で、PayPal、Capital One、E * Trade、Chaseなど、410の金融機関のクライアントマシンから8310個のアカウントが受信されました。 パスワードの約40%は、実際のセッションからではなく、ブラウザーのパスワードマネージャーから取得されました。 専門家によると、ボットネットの所有者は、10日間の仕事でこれらすべてのアカウントから最大830万ドルを引き出すことができました。
分析では、被害者の28%が同じデータを使用してすべてのサイトとパーソナルサービスにアクセスし、これにより攻撃者の生活が大幅に簡素化されることも示されました。
Ars Technica経由