4月8日、Intel Security/McAfeeの支援を受けた世界各国の法執行機関が連携して、特に巧妙なポリモーフィック型ワームを拡散させているBeeboneボットネットを壊滅させました。
多くの場合、法執行機関と犯罪者は捕食者と獲物のように振る舞い、それぞれ相手より優位に立つために進化と適応を続けます。一部の犯罪者は、絶えず外見を変え続けてカモフラージュする機能を開発しました。
現在、マルウェアがこの種の適応であるポリモーフィック型(訳注:ファイルに感染するときに、自身をランダムな暗号化コードで書き換えて、暗号化するウイルス)の振る舞いを見せるようになっており、これに対処して無効化することが必要になっています。 特有のシグネチャを特定することは、マルウェアに対抗する最古の手段の1つです。
しかし、W32/Worm-AAEHというこのワームは(VObfus、VBObfus、Changeup、および他の名前でも知られています)、新しいシステムに移動するたびに自らの形態を変え、感染したシステム内で1日に6回も形態を変えることにより、シグネチャベースの検出を逃れようとします。
現時点で、W32/Worm-AAEHの一意のサンプルが500万以上確認されています。このワームは、サンドボックスやウイルス対策ソフトウェアを検出し、セキュリティ会社のWebサイトへの接続をブロックし、自分を退治しようとするツールを無効化し、暗号化技術を利用し、制御サーバーのアドレスおよびドメイン名を動的に変更することができます。その結果、6年前に初めて発見されて以来、現在に至るまでずっと脅威であり続けているのです。このワームはこれまで何万ものシステムに感染しており、シンクホール作戦からの最初の見積もりでは、ボットネットが元の予測よりはるかに大規模であることが示唆されています(詳細は以下で述べます)。
ポリモーフィックワームはシグネチャベースの防御を回避しますが、プログラムによる自動実行ファイル作成の阻止、ユーザーフォルダ内でのファイル実行のブロック、選択したポートでのアウトバウンド接続の監視またはブロックなど、ビヘイビアに基づくポリシーによって簡単に阻止できます。
McAfee Labsは去年の3月に、このワームの感染を減らし、その振る舞いを理解するために、このワームとそのホストの間での通信を模倣する自動監視システムを構築しました。このシステムの詳細については、ここ を参照してください。
Intel Security/McAfeeは、この監視システムを通じて収集した情報を活かし、法執行機関の連合体であるShadowserver Foundationや他のセキュリティベンダーと連携して、このワームをサポートしているボットネットとその背後にいる犯罪組織の撲滅に動きました。 この撲滅作戦は、オランダの国家ハイテク犯罪ユニット(National High Tech Crime Unit)によって指揮されました。この国際的な作戦では、欧州刑事警察機構(ユーロポール)の欧州サイバー犯罪センター(EC3)、FBI、および米国の国家サイバー合同捜査本部 – 国際サイバー犯罪調整セル(National Cyber Investigative Joint Task Force – International Cyber Crime Coordination Cell)(IC4)からの代表者が協調して行動し、Kaspersky Labも追加の情報を提供しました。この共同作戦により、欧州全域に広がっていた犯罪組織の制御サーバーで使用されていたドメインを押収し停止させることができました。 この種の作戦は、コンピュータシステムのセキュリティを継続させるには協力が非常に重要であることを示しています。
この成功には、複数の国および国際的な法執行機関の努力および協力と、それを支援したセキュリティベンダーからの詳細な研究とタイムリーな情報が大きく貢献しました。この協力がなければ、このボットネットとその背後にある犯罪組織はいまだに活動を続けていたでしょう。
元の投稿については、Dark Reading(米国セキュリティコミュニティサイト/英語)を参照してください。
※本ページの内容は McAfee Blog の抄訳です。
原文: Botnet to Cybersecurity: Catch Me If You Can
著者: Intel Security
EMEA地域担当 CTO ラージ・サマニ(Raj Samani)