"高度に複雑"なボットネット「Mylobot」が新たに発見される

Danny Palmer (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2018-06-21 13:39

 新たなマルウェア攻撃が、システムをボットネットに組み込み、攻撃者が感染したマシンを完全に制御できるようにするだけでなく、さらなるペイロードを送り込めるようにして、デバイスを「トロイの木馬」やキーロガー、DDoS攻撃などの悪意ある企みの危険にさらしている。

 このマルウェアは3段階からなる回避機能を備えているが、発見したDeep Instinctの研究者らはこの回避機能について、高度に複雑で珍しく「これまで出回ったことがない」ものだとしている。

 このマルウェアを拡散するボットネットは「Mylobot」と呼ばれており、出所や配布方法は今のところ不明だが、2017年にも猛威を振るったランサムウェア「Locky」と関連があるようだ。

 Mylobotには、サンドボックスやデバッグを回避する暗号化されたファイルと、.exeファイルをディスクに保存することなくメモリから直接実行できる反射型の.exeファイルが含まれている。このテクニックはあまり一般的でなく、2016年に報告されている。マルウェアの検知や追跡をいっそう難しくしているという。

 さらにMylobotには、2週間待ってから攻撃者のコマンド&コントロール(C&C)サーバに接続する遅延メカニズムが組み込まれている。これもまた、検知を回避する手段だ。

 システムにインストールされると、Mylobotは「Windows Defender」と「Windows Update」をシャットダウンするという。

 それに加えて、以前にマシンにインストールされた他のマルウェアのインスタンスを削除する。「DorkBot」などの他のボットネットの特定のフォルダも狙われるという。

 どういう考えに基づいてこのような動きをするのかは簡単だ。被害を受けたマシンからできるだけ多くの利益を得るため、攻撃者の制御する感染マシンのネットワークが最大となるよう、ライバルを削除しているのだ。

 コンピュータがボットネットに組み込まれたら、攻撃者はシステムを完全に制御し、さらなるペイロードや指示をC&Cサーバから送り込める。

 Deep Instinctのセキュリティ研究者であるTom Nipravsky氏は、「予想される被害は、攻撃者が送り込もうとするペイロードによる。ランサムウェアやバンキング型トロイの木馬のダウンロードや実行などが考えられる」と述べている。

 研究者らは、どういったペイロードがさらにダウンロードされるのか詳しく述べていないが、Mylobotに関連するC&Cサーバのドメインの分析から、Lockyランサムウェアや他のマルウェアとのつながりが明らかになった。

 Nipravsky氏は、「われわれの調査によると、C&CサーバのIPは、2015年11月に初めて確認されており、DorkBotやLocky、Ramdoとつながりがある」と述べた。

 このC&Cサーバは2年半にわたってアクティブで、Mylobotの背後にいる者たちが以前から活動し、十分なリソースがある活動を示唆する戦略を用いていることを示している。

 「ボットネットは1404種類のドメインに接続しようとしている。この調査について執筆している時点で、有効なのは1つだけだった。それらのドメインすべてを登録するために必要な豊かなリソースを示唆している」とNipravsky氏は述べた。

 Nipravsky氏によると、このマルウェアは広範に拡散していないようだ。また、Mylobotの背後にいる攻撃者の正体や拡散手段、最終的な目的は不明のままだ。しかし研究者らは、この仕組みの複雑さから、素人によるものではないと結論づけている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]