"高度に複雑"なボットネット「Mylobot」が新たに発見される

Danny Palmer (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2018年06月21日 13時39分

  • このエントリーをはてなブックマークに追加

 新たなマルウェア攻撃が、システムをボットネットに組み込み、攻撃者が感染したマシンを完全に制御できるようにするだけでなく、さらなるペイロードを送り込めるようにして、デバイスを「トロイの木馬」やキーロガー、DDoS攻撃などの悪意ある企みの危険にさらしている。

 このマルウェアは3段階からなる回避機能を備えているが、発見したDeep Instinctの研究者らはこの回避機能について、高度に複雑で珍しく「これまで出回ったことがない」ものだとしている。

 このマルウェアを拡散するボットネットは「Mylobot」と呼ばれており、出所や配布方法は今のところ不明だが、2017年にも猛威を振るったランサムウェア「Locky」と関連があるようだ。

 Mylobotには、サンドボックスやデバッグを回避する暗号化されたファイルと、.exeファイルをディスクに保存することなくメモリから直接実行できる反射型の.exeファイルが含まれている。このテクニックはあまり一般的でなく、2016年に報告されている。マルウェアの検知や追跡をいっそう難しくしているという。

 さらにMylobotには、2週間待ってから攻撃者のコマンド&コントロール(C&C)サーバに接続する遅延メカニズムが組み込まれている。これもまた、検知を回避する手段だ。

 システムにインストールされると、Mylobotは「Windows Defender」と「Windows Update」をシャットダウンするという。

 それに加えて、以前にマシンにインストールされた他のマルウェアのインスタンスを削除する。「DorkBot」などの他のボットネットの特定のフォルダも狙われるという。

 どういう考えに基づいてこのような動きをするのかは簡単だ。被害を受けたマシンからできるだけ多くの利益を得るため、攻撃者の制御する感染マシンのネットワークが最大となるよう、ライバルを削除しているのだ。

 コンピュータがボットネットに組み込まれたら、攻撃者はシステムを完全に制御し、さらなるペイロードや指示をC&Cサーバから送り込める。

 Deep Instinctのセキュリティ研究者であるTom Nipravsky氏は、「予想される被害は、攻撃者が送り込もうとするペイロードによる。ランサムウェアやバンキング型トロイの木馬のダウンロードや実行などが考えられる」と述べている。

 研究者らは、どういったペイロードがさらにダウンロードされるのか詳しく述べていないが、Mylobotに関連するC&Cサーバのドメインの分析から、Lockyランサムウェアや他のマルウェアとのつながりが明らかになった。

 Nipravsky氏は、「われわれの調査によると、C&CサーバのIPは、2015年11月に初めて確認されており、DorkBotやLocky、Ramdoとつながりがある」と述べた。

 このC&Cサーバは2年半にわたってアクティブで、Mylobotの背後にいる者たちが以前から活動し、十分なリソースがある活動を示唆する戦略を用いていることを示している。

 「ボットネットは1404種類のドメインに接続しようとしている。この調査について執筆している時点で、有効なのは1つだけだった。それらのドメインすべてを登録するために必要な豊かなリソースを示唆している」とNipravsky氏は述べた。

 Nipravsky氏によると、このマルウェアは広範に拡散していないようだ。また、Mylobotの背後にいる攻撃者の正体や拡散手段、最終的な目的は不明のままだ。しかし研究者らは、この仕組みの複雑さから、素人によるものではないと結論づけている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]