2012年6月28日木曜日

ボットネットOSX/Flashbackとの戦い

  • このエントリーをはてなブックマークに追加
Macのボットネットとしては過去最大となる「OSX/Flashback」に対する対策が進んでいます。

4月12日にApple社は、OSX/Flashbackの発生から数えて3番目となるJavaアップデートをリリースしました。このアップデートは、Apple社が迅速にユーザのマシンにマルウェア削除コードを適用できるように、マルウェア削除ツールという新しいツールを含んでいます。

マルウェア削除ツールの最初の仕事は、OSX/Flashbackを削除することです。


多くの研究家やセキュリティ会社が、OSX/Flashbackに注目しています。それらの多くは、観察報告や、局所的な結果について公開しており、話題を呼んでいます。

ESETも、積極的にOSX/Flashbackボットネットを調査してきました。

ESETは、シンクホールを使ったボットネットの監視をシンクホールの最初期から行なってきた企業です。ESETはシンクホールへ接続を試みた749,113件以上のユニークIPアドレスから、到達した491,793件のユニークIDを確認しました。

これで、他の企業が公表したボットの拡散の規模についても、検証することができます。

現在は、リバースエンジニアリングの結果とシンクホールで得られたデータを積極的に共有することでセキュリティコミュニティと協力しています。

MacFlashbackアップデート:ESETセキュリティブログ

OSX/Flashbackは様々な手段でコンピュータに感染します。過去数ヶ月間では、Adobe Flash Playerに偽装した方法や、エクスプロイトを介しての拡散がありました。最近の感染の大部分は一部のWebサイトで、JavaのCVE-2012-0507脆弱性を悪用したドライブ・バイ・ダウンロードによってOSX/Flashbackを感染させるものです。

Hydra:ESETセキュリティブログ

OSX/Flasbackのコンポーネントのうち、最初に実行されるのはドロッパーです。コマンド&コントロールサーバに接続し、追加のコンポーネントをダウンロードして実行します。

いくつかの変種のドロッパーでは、これに加えてライブラリもダウンロードします。これがインストールされると、システム上で任意のアプリケーションが実行された時に、それがライブラリを呼び出すのです。

ダウンロードされたライブラリは通信に関するシステムファンクションをフックにして、OSX/Flashbackは表示したWebページを変えたり、ユーザのインターネット上での行動を記録します。

このことが、感染したコンピュータのブラウザに不要な広告を表示したり、情報を盗むために使用されていたりするかどうかは、まだよくわかっていません。


ESETが感染したホストの実際の数を出すことについては、できる限り正確かつ客観的なものとなるようにしています。OSX/Flashbackは、ハードウェアのUUIDを使用するのだが、それでも個々のホストを区別することは簡単なことではありません。

ESETのデータでは、シンクホール(コマンド&コントロールサーバと通信しようとするボットに管制したマシンからのトラヒックをキャプチャするサーバ)に到達した多くのUUIDは、UUIDの数に比べて広い範囲のIPアドレスから来ており、UUIDの重複があることが推測されます。

仮想マシンや、いわゆるハッキントッシュの構成がこのことの理解に役立つかもしれません。

ハッキントッシュのフォーラムを見ると、4番目にリリースされる予定のスペシャルディストリビューションのUUIDは全て同じもの(XXXXXXXX-C304-556B-A442-960AB835CB5D)となっており、さらに任意にそれを変更する方法が議論されていることがわかります。

不思議な事ですが、20もの異なるIPアドレスからこのUUIDがESETのシンクホールに接続していました。つまり、UUIDで個別のホストを区別して、感染したホストをカウントすると、ボットネットのサイズを過小評価してしまうかもしれないことがわかります。


OSX/Flashbackにはここ数カ月で大きな変化がみられました。

OSX/Flashbackの作者は、メインのコマンド&コントロールサーバの運用ができなくなる場合にそなえて、すばやく難読化とフォールバックの準備をしています。

ドロッパーは現在1日あたり5つのドメイン名を生成し、それが示すWebサイトから実行可能ファイルを取得しようとするようになっています。最新のドロッパーとライブラリの亜種は、ハードウェアUUIDを使って、ボットで使用する重要な文字列を暗号化しています。

これは、UUIDがわからない一般ユーザから報告された亜種の解析を妨げることになります。


OSX/Flashbackに実装されたコマンド&コントロールサーバへの接続が不可能になった時に使用するフォールバックは独特のものです。それは毎日新しいTwitterのハッシュタグを生成し、それが含まれたツイートを検索するものです。

新しいコマンド&コントロールサーバのアドレスは、Twitterを通した方法で感染したマシンに送られるのですIntego社がこのことを先月公表したが、最新の亜種は、また新しい文字列を使用しています。

Twitter社にもこの新しいハッシュタグは伝えられており、ボットネットのオペレータが、Twitterを通じてボットネットの制御を取り戻せないように対策をしています。

現在使用しているMac OS Xマシンを保護するには、Apple社からの最新の更新プログラムを適用することを強くお勧めします。

また、ESET Cybersecurity for Macの無料トライアルをダウンロードして、マシンをスキャンし、システム上にある脅威を取り除くこともできます。


出典:blog.eset.com
ESETロゴ:ESETセキュリティブログ
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る