パスワードを忘れた? アカウント作成
22808 story
セキュリティ

最大規模ボットネットKraken発見 79

ストーリー by nabeshin
悪意のないやっかいな攻撃者たち 部門より

あるAnonymous Coward 曰く、

本家/.記事より。対ボットセキュリティ企業のDamballaの調査で400,000のボットから成る大規模なボットネットが見つかったとのこと。Krakenと呼ばれるこのボットネットは今まで最大とされていたStorm Wormの2倍の規模だそうだ。Fortune 500の企業でも既に50社ほどで感染が確認されており、アンチウィルスソフト搭載のマシンにおいても8割は検出されないとのこと。Krakenは自身のバイナリコードを定期的に更新したり、いくつかの手法を組み合わせて潜伏することでアンチウィルスソフトからの探知や人による分析調査を困難にしている模様。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 信憑性は? (スコア:2, 興味深い)

    by ken2 (27347) on 2008年04月08日 23時51分 (#1326868)
    このDamballaって企業はどこまで信用できるんだろう?
    これがフカシで、
    「強力なボットを我々が見つけました。Fortune 500の企業ですら感染しています。我々にしか見つけられません。さあ、あなたの会社も我々の検査を! それと我々に投資を!」
    というシナリオも考えられなくはない。

    # 私はセキュリティ詳しくないので的外れかもしれんが。
    • Re:信憑性は? (スコア:2, 参考になる)

      by Stealth (5277) on 2008年04月09日 9時20分 (#1326992)

      まさにその通り。彼らはそう言って検査料やコンサル料をふんだくろうとしているのですよ。

      しかし大丈夫。私たちが代わりに彼らと交渉しましょう。もし不安であれば検査もしますよ。

      つきましては、お代が……

      親コメント
  • by Anonymous Coward on 2008年04月08日 12時25分 (#1326563)
    昔自分のPCにいつの間にかウィルスが感染してたことがありました。
    いくつかのAVソフトウェアを組み合わせて気をつけていたつもりだったのですが、
    いつのまにかSMTPのコネクションが外部のコンピューターに大量にはられていて
    驚いたのを覚えています。このウィルスはWindowsのシステムプロセスに
    偽装していました。ひょっとしたら自分のPCは今回発見されたbotnetの
    一部だったのかもしれません。
    • by Anonymous Coward on 2008年04月08日 12時48分 (#1326587)
      >いくつかのAVソフトウェア
      きっとそのエロいソフトが原因ですっ><

      #マジな話対策ソフトを装う…ってケースもあると思うのでAC
      親コメント
    • >ひょっとしたら自分のPCは今回発見されたbotnetの
      >一部だったのかもしれません。

      ちょっとまった。
      今回発見されていないbotだった可能性は?

      # システムプロセスに偽装していた事まで調べていたということは通報済み?
      親コメント
    • よく見かけるタイプでagobotとかsdbotなどの一種でしょうね。
      特に目新しくはないと思われます。
      親コメント
    • by Anonymous Coward on 2008年04月08日 14時18分 (#1326638)
      ウィルスなのか、先天的な遺伝子によるものなのかは分かりませんが
      私のPCの操作者はAVに引っかかってしまう挙動をするんですが……
      幸い、まだ架空請求等の被害には遭っていません
      親コメント
    • by Anonymous Coward
      偽装していたプロセス名を教えてほしい
    • 「だから AV なんか無駄。入れる必要はない」
      なんて力説する人が必ず湧いて出るけど、その人のマシンも果たして無事なのかな?

      #俺のマシンモナー
  • by tomone (15592) on 2008年04月08日 21時00分 (#1326815) ホームページ
    > 悪意のないやっかいな攻撃者たち

    いや、悪意はあるんじゃね? 直接的な攻撃はしないだろうけど。
    --
    TomOne
  • どれくらいの能力になるんでしょうね?
  • by Anonymous Coward on 2008年04月08日 12時35分 (#1326573)
    ぼーっとしてるわけにはいかない事態ですね
  • by Anonymous Coward on 2008年04月08日 13時04分 (#1326601)
    今までは日に5通もくれば多いほうだったのに、先日は一気に30通もきてた。
    なんか関係あるのかなぁ…まぁパージ予定のアドレスなんで困りはしないけど。
    • by Anonymous Coward
      いつも思うのですが、spamが蔓延するのは、それをクリックして
      出会い系サイトや怪しげな通販に登録して金を払ってしまう
      馬鹿がいるからなんですよね。
      • by Anonymous Coward

        そういう人がいるのは仕方ないんです
        問題はそういう人に業者が到達するために必要なコストです
        仮にそういう人が1万人に1人だとして、

        時給700円で街頭キャッチセールス
        1日8時間100人にアタックしたとして100日必要=56万円
        1枚50円の葉書に手書きしてダイレクトメール
        手書きで葉書のDMとかありえねーが1万枚必要=50万円
        1万個のメールアドレスにメール送信
        質不問で有効なメールアドレス1万個+クリック代=1万円


        1万円で1人引っかかるならガンガンやろうと考えるのは自然ではないでしょうか。いや、例ですが。

  • by Anonymous Coward on 2008年04月08日 14時04分 (#1326632)
    アンチウィルスにひっかからないようだと、どう発見すればいいのか全くわかりません。

    専用サーバも運営していますが、みなさんはどう検知しているのでしょうか?
    • by Anonymous Coward on 2008年04月08日 15時01分 (#1326660)
      パケットを全通過するルーターをかませて、全てのログを記録。
      毎日それをチェック。

      …ぐらいしか思い浮かびません。
      (量がすごいことになりそうですが)
      親コメント
    • by 127.0.0.1 (33105) on 2008年04月08日 15時08分 (#1326665) 日記
      何の専用サーバか知りませんが、今回のボットネットが新しく発見された
      ものだとは言え、未知の脆弱性をついて侵入されるものではないでしょう。
      だからWindowsやアプリケーションのパッチをあてて最新版にしておくのは
      基本として、サーバーだったら余計なポートを開かずに、そこから外部に
      IE等でアクセスするようなことをしなければ入ってくることはないでしょう。
      ごくごく普通の対応で十分。

      QuickTimeとかAdobeReaderとかRealPlayer等の頻繁に脆弱性が発見される
      ものは入れないようにすると楽かも。

      ファイルサーバーで得体の知れないファイルが出入りするっていうなら、
      それは既存のセキュリティ対策ソフトでスキャンすれば十分検知できるし
      ウィルスがあっても実行しなければただのデータの塊でしかない。

      レジストリを改変するタイプのウィルスなら、レジストリへの書き込みを
      チェックしていれば侵入を防いだり直したりするのは楽。
      ブートセクタ感染型についてはブートセクタを書き込み禁止にしておく。

      で、そこまで苦労したくなかったらWindows以外のOSのサーバーにするのを
      検討したほうがいいかも。
      親コメント
    • by develop (22404) on 2008年04月08日 19時28分 (#1326784)
      ファイル名、サイズ、更新日でハッシュとって変更があったものはアラート出すようにする。
      明らかに日々変更されるディレクトリやファイルはチェックからはずす。(アラートが上がりすぎるとチェックが甘くなる)
      アラートが上がった場合、意図された変更なのか確認する。

      linuxの場合はパーティションを適切に分けて実行ファイルが置かれるはずのないディレクトリはnoexecオプションを追加する。

      ってだけでずいぶん違うと思います。

      親コメント
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...