RSS Feed  Twitter  
|
Articles - Malware

IRCサーバもボットネット専用の改変版が出回る

実際にボットネットを構築しているクラッカーは、接続先となるIRCサーバをどのように選択しているのだろうか。これは既存のIRCサーバを勝手に利用するか、ボットに感染しているコンピュータをIRCサーバに仕立て上げるか、そして両方を使い分けるかなど、いくつかの選択肢がある。

前述した設定ファイルにもあったように、ボットでは複数のIRCサーバを設定可能で、ルートサーバ以外にも複数のIRCサーバを設定しておけば、ルートサーバが潰れた場合でも、他のIRCサーバからボットネットを支配できる。また、仮にボットに感染しているコンピュータや乗っ取ったコンピュータにIRCサーバを設置した場合には、設定アドレスをDDNSにしておくことで、サーバ変更も自由自在に行える。

ボットネット向けに改変(カスタマイズ)されたIRCサーバもコミュニティでは出回っており、主にはUnreal IRCd(http://www.unrealircd.com/)が使われている。改変版には、「UNREAL.3.2-m0dded-LyR+HiddenFiles+RunServices+NewMode_by_hhD」や「PDX-3.0.0-core」、「Unreal-80k[MAX]users」などが存在しており、80k[MAX]usersとは8万ボットまで対応というわけだ。

いずれも、ユーザに気がつかれないようインストールすることが可能で、ボットを通じてインストールすれば、そのコンピュータを用いてボットへ指令を行える。ボットへ感染するだけでなく、条件次第では、その司令塔となるIRCサーバまでも組み込まれるかもしれないわけだ。

■図34:Unreal-80k[MAX]usersのファイル群、実行プログラムが「iexplorer.exe」に変更されていることがわかるだろう(プロセスを閲覧された際の策である)。設定ファイルを書き換えて起動するだけでIRCサーバが立ち上がる。

80k


■図35:Unreal-80k[MAX]usersを起動してログインした画面。Listコマンドなどは受け付けないため、チャンネルを閲覧することなどはできない。

Welcome to the blackout IRC Network k0rnz!blackout192.168.1.2
Your host is 192.168.1.88, running version Unreal3.2-beta19
This server was created Sun Feb  8 18:58:31 2004
192.168.1.88 Unreal3.2-beta19 iowghraAsORTVSxNCWqBzvdHtGp lvhopsmntikrRcaqOALQbSeKVfMGCuzN
MAP KNOCK SAFELIST HCN MAXCHANNELS=25 MAXBANS=60 NICKLEN=30 TOPICLEN=307 KICKLEN=307 MAXTARGETS=20 AWAYLEN=307 are supported by this server
WALLCHOPS WATCH=128 SILENCE=5 MODES=12 CHANTYPES=# PREFIX=(qaohv)~&@%+ CHANMODES=be,kfL,l,psmntirRcOAQKVGCuzNSM NETWORK=blackout CASEMAPPING=ascii are supported by this server
-
MOTD File is missing
-
* k0rnz sets mode: +i
-
Local host: b0z0 (192.168.1.2)


■図36:PDX-3.0.0-coreはSSL通信を目的としている。これはHoneypotなどによるトラッキングを嫌ってのことだ。バッジファイルを用いてIRCサーバの設定と作成が可能。

pdx

↓これがターゲットに仕込まれる

pdx2

 

既存のIRCサーバが不正使用された例

ボットがIRCチャンネルでの指令に従って動作するということは前述した通りだが、原稿執筆時にもいくつかのボットネットに関するやりとりがコミュニティで行われており、その中には、国内のIRCサーバも含まれていた(IRCサーバ管理者には発見時に報告済み)。

このボットネットでは、Lsassの脆弱性を利用してボットを拡散させている最中で、そのまま放置されてしまえば、ボットへ感染するコンピュータが増加していくことになる。

もちろん、ボットネットに利用されるIRCサーバは、こういった既知のサーバだけではなく、前述したように、乗っ取られたコンピュータも利用される。このため、一つの司令塔が消滅してもボットネット自体は死んでいない可能性もある。

■図37:国内のIRCサーバで行われていたボットの拡散。Lsassの脆弱性を利用してボットを拡散させている。

botnet

botnet

 


|