 |
BOTとは何か?[後編]
なぜBOTは増殖するのか
岡本 勝之トレンドマイクロ株式会社
トレンドラボ・ジャパン アンチウイルスセンター
ウイルスエキスパート
2005/9/23
 |
ウイルス対策ソフトへの対策 |
BOTの機能のうち、表面的には分かりにくいもののウイルス作者が力を入れてカスタマイズする部分としてウイルス対策ソフトに検出されづらくする工夫があります。ウイルス作者の常とう手段としては自分が作成したBOTが各種ウイルス対策ソフトの最新バージョンで検出されないことを事前に確認する、ということがあります。ウイルス対策製品とウイルス作者のイタチゴッコが亜種・変種数の増加の最も大きな要因といえるでしょう。
検出を回避するための工夫には大きく分けて2種類があります。1つは感染したPCで見つからないようにする工夫。もう1つは解析を手間取らせるための工夫です。
1.圧縮化、暗号化
これは感染したPC上で検出されないようにする工夫です。多くのウイルス対策製品はパターンマッチングという手法でウイルス検出を行います。これはウイルスから特徴的なコードを抜き出してマッチした場合に検出するプログラムファイルに対する指紋照合ともいえる方法です。
これをすり抜けるためには指紋、つまりウイルスコードの形を変えてしまうことが必要です。人間の場合、指紋を変えることは容易ではありませんが、ウイルス作者はウイルスコードを暗号化したり、圧縮されたままでも実行可能な形に圧縮したり(コンプレッサーと呼ばれる)することによってコードの形を変えます。最も代表的なコンプレッサーとしては「UPX(Ultimate Packer for eXecutables)」というソフトがあります。
同じウイルスコードでもウイルス対策製品が対応していない圧縮や暗号化をすることによって何度でも「新種」として通用するようになります。BOT作成ツールにはより簡単に圧縮形式や暗号形式を選択できるものもあります。
2.ウイルス対策ソフトなどセキュリティ関連ソフトの無効化
ウイルス対策製品に検出されないことを確認したとしても、いつかは対応され検出されるようになります。ウイルスにとっては侵入したPC内でウイルス対策製品が稼働していた場合には速やかに活動を止めてしまうのが無難です。ウイルス作者はウイルス対策ソフトのプロセスを強制終了させる機能を組み込みました。ウイルス対策ソフトのプロセス名のリストは容易に入手できます。
また、ウイルス対策ソフトが稼働していても検出されなければいいということで、ウイルス対策ソフトのアップデートができないようにウイルス対策ベンダなどのダウンロードサイトへのアクセスを妨害する方法も編み出されました。これについて一番多いのは Windowsのネットワーク設定ファイルであるhostsファイルのアドレス設定を変更するやり方です。
3.アンチデバッギング手法/デバッガ・VM対策
これは解析を手間取らせることによって対応を遅らせるための方法です。解析がしにくいようなプログラミングとしてデバッガの管理下で起動している場合や、仮想マシン上で稼働していると判断した場合、活動を停止するようにプログラミングが行われています。これらも作成ツールでは容易に選択が可能になっています。
これらの「ウイルス対策ソフトへの対策」ともいうべきBOTの機能は、すべてのセキュリティを無効にしてしまうものではありません。しかし、有効な手段の1つではあります。また、ウイルス作者側から見れば、ウイルス対策製品に対応されて使えなくなってしまった道具はもう使わず、新しい道具を作って使えばいいだけなのです。
|
BOTのワーム活動 |
もう1つカスタマイズの例としてネットワークワーム活動を見てみましょう。BOTのネットワークワーム活動としては、ネットワーク上の共有フォルダへの自身のコピー、セキュリティホールへの攻撃による自動侵入、PtoPファイル共有ソフトのファイル共有システムに自身のコピーを登録するといったところが主なものです。
共有フォルダへのコピーには、ハッキングの世界では常識である辞書攻撃という手法がよく取り入れられています。あらかじめ用意されたパスワード候補のリストを全部試行することによってパスワードを破るやり方です。当然、パスワード候補のリストの内容が侵入の成否に大きく関係してくるのですが、このリストはウイルス作者によるカスタマイズがしやすい部分です。
カスタマイズの特に顕著な例として、攻撃対象を特定したパスワードリスト作成があります。一般的にありがちな安易なパスワードのほかに、侵入させたい企業の中でパスワードとして使われていそうな企業名や商品名などをリストに含めるのです。従業員の名前から推測されるアカウント名などもリストに含めます。日本の企業で発見された例では日本語のパスワードが含まれていたという報告もありました。
セキュリティホールを攻撃するためのコードをエクスプロイトと呼びますが、エクスプロイトの組み込みも改造の容易さが表れるところです。エクスプロイトにより最初に大流行したウイルスは2001年の「コードレッド」です。それ以来セキュリティホールを利用した侵入はウイルス作者には当然のこととなりました。
有効なエクスプロイトを使うウイルスが出現したのに追従して、同じエクスプロイトを組み込んだBOTの亜種が多く作成されます。最近の例では2005年8月17日に登場した「MS05-039:プラグアンドプレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる」のエクスプロイトを利用する初めてのワーム「WPRM_ZOTOB」はBOT系のプログラムを改造したものといわれています。
 |
2/3 |
|
| Index | |
| なぜBOTは増殖するのか | |
| Page1 オープンソースのウイルス |
|
 |
Page2 ウイルス対策ソフトへの対策 BOTのワーム活動 |
| Page3 BOTへの対策 |
|
| BOTとは何か | |
| 前編 変幻自在なBOTの正体を暴く | |
| 後編 なぜBOTは増殖するのか | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
