最大規模ボットネットKraken発見 79
ストーリー by nabeshin
悪意のないやっかいな攻撃者たち 部門より
悪意のないやっかいな攻撃者たち 部門より
あるAnonymous Coward 曰く、
本家/.記事より。対ボットセキュリティ企業のDamballaの調査で400,000のボットから成る大規模なボットネットが見つかったとのこと。Krakenと呼ばれるこのボットネットは今まで最大とされていたStorm Wormの2倍の規模だそうだ。Fortune 500の企業でも既に50社ほどで感染が確認されており、アンチウィルスソフト搭載のマシンにおいても8割は検出されないとのこと。Krakenは自身のバイナリコードを定期的に更新したり、いくつかの手法を組み合わせて潜伏することでアンチウィルスソフトからの探知や人による分析調査を困難にしている模様。
信憑性は? (スコア:2, 興味深い)
これがフカシで、
「強力なボットを我々が見つけました。Fortune 500の企業ですら感染しています。我々にしか見つけられません。さあ、あなたの会社も我々の検査を! それと我々に投資を!」
というシナリオも考えられなくはない。
# 私はセキュリティ詳しくないので的外れかもしれんが。
Re:信憑性は? (スコア:2, 参考になる)
まさにその通り。彼らはそう言って検査料やコンサル料をふんだくろうとしているのですよ。
しかし大丈夫。私たちが代わりに彼らと交渉しましょう。もし不安であれば検査もしますよ。
つきましては、お代が……
AVに引っかからないウィルス (スコア:1, 興味深い)
いくつかのAVソフトウェアを組み合わせて気をつけていたつもりだったのですが、
いつのまにかSMTPのコネクションが外部のコンピューターに大量にはられていて
驚いたのを覚えています。このウィルスはWindowsのシステムプロセスに
偽装していました。ひょっとしたら自分のPCは今回発見されたbotnetの
一部だったのかもしれません。
Re:AVに引っかからないウィルス (スコア:2, おもしろおかしい)
きっとそのエロいソフトが原因ですっ><
#マジな話対策ソフトを装う…ってケースもあると思うのでAC
Re:AVに引っかからないウィルス (スコア:1)
>一部だったのかもしれません。
ちょっとまった。
今回発見されていないbotだった可能性は?
# システムプロセスに偽装していた事まで調べていたということは通報済み?
Re:AVに引っかからないウィルス (スコア:1)
特に目新しくはないと思われます。
Re:AVに引っかからないウィルス (スコア:1, おもしろおかしい)
私のPCの操作者はAVに引っかかってしまう挙動をするんですが……
幸い、まだ架空請求等の被害には遭っていません
Re: (スコア:0)
だから AV なんか無駄。入れる必要はない (スコア:0)
なんて力説する人が必ず湧いて出るけど、その人のマシンも果たして無事なのかな?
#俺のマシンモナー
Re:だから AV なんか無駄。入れる必要はない (スコア:1, すばらしい洞察)
>ど無意味、脆弱性対策のパッチさえ当てれば安全だしそれで感染する
>ならAVを入れようが他のOSを使おうが一緒」だとかいう話はユ
>ーザーがWindowsからLinuxやMacに流れるのを防ぐためのMS信者
>のエセセキュリティ講座の中で出てくる話なので、ここではあんま
>り出てこないと思いますよ。
ほら、早速毒情報が湧いて出てるじゃないですか。
MS信者はAV要らないなんていいません。
AV要らないって言ってるのは、Linux/Macユーザに多いです。
MS信者の間ではAV使用は常識の範疇。
AVベンダーが「Linux/MacもAVが必要だ」とアピールするたびに
「AVは要らない」と言い出すのがLinux/Macユーザなんですよ。
悪意のない? (スコア:1)
いや、悪意はあるんじゃね? 直接的な攻撃はしないだろうけど。
TomOne
まとめて分散プロジェクトにでも突っ込んだら、 (スコア:1)
これは (スコア:0)
Re:これは (スコア:1)
最近spamが急増した… (スコア:0)
なんか関係あるのかなぁ…まぁパージ予定のアドレスなんで困りはしないけど。
Re: (スコア:0)
出会い系サイトや怪しげな通販に登録して金を払ってしまう
馬鹿がいるからなんですよね。
Re: (スコア:0)
そういう人がいるのは仕方ないんです
問題はそういう人に業者が到達するために必要なコストです
仮にそういう人が1万人に1人だとして、
1万円で1人引っかかるならガンガンやろうと考えるのは自然ではないでしょうか。いや、例ですが。
発見する方法 (スコア:0)
専用サーバも運営していますが、みなさんはどう検知しているのでしょうか?
Re:発見する方法 (スコア:1, 興味深い)
毎日それをチェック。
…ぐらいしか思い浮かびません。
(量がすごいことになりそうですが)
Re:発見する方法 (スコア:1)
ものだとは言え、未知の脆弱性をついて侵入されるものではないでしょう。
だからWindowsやアプリケーションのパッチをあてて最新版にしておくのは
基本として、サーバーだったら余計なポートを開かずに、そこから外部に
IE等でアクセスするようなことをしなければ入ってくることはないでしょう。
ごくごく普通の対応で十分。
QuickTimeとかAdobeReaderとかRealPlayer等の頻繁に脆弱性が発見される
ものは入れないようにすると楽かも。
ファイルサーバーで得体の知れないファイルが出入りするっていうなら、
それは既存のセキュリティ対策ソフトでスキャンすれば十分検知できるし
ウィルスがあっても実行しなければただのデータの塊でしかない。
レジストリを改変するタイプのウィルスなら、レジストリへの書き込みを
チェックしていれば侵入を防いだり直したりするのは楽。
ブートセクタ感染型についてはブートセクタを書き込み禁止にしておく。
で、そこまで苦労したくなかったらWindows以外のOSのサーバーにするのを
検討したほうがいいかも。
Re:発見する方法 (スコア:2, 参考になる)
まずレジストリ中の特定の場所に指定されているプログラムをチェックする。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
とか代表的だけども、いくつもチェックするところはある。省略。
当然ウィルスでないプログラムもあるので一つ一つ地道にチェック。
知らないプログラムがあればぐぐる。ぐぐっても分からない場合も多いけど。
あと、ウィルスが動いていると、レジストリの項目を削除してもシステム終了時に
また書き込まれることがあるので、セーフモードでやると吉。
過去に見たウィルスでは、SCSIドライバーとして登録されているものがあって
これは発見したけども自分の技術レベルではどうやっても手動でファイルを削除できなかった。
ちなみに対策ソフトで駆除できた。HDDを別のマシンにつなげればファイルの削除はできると思う。
次に、ファイルのチェック。c:\ 、c:\windows、c:\windows\system32 等の
いくつかのシステムディレクトリや、c:\Document and Settings\"アカウント名"\以下のディレクトリ、
c:\Document and Settings\All Users以下もだけども、その辺にウィルスが置かれていることも
多い。これもファイルのタイムスタンプが結構手がかりになる。
どこを見ればいいかというのは、沢山あるのでいちいちコメントで書ききれないので省略。
IEのキャッシュディレクトリなんかよくウィルスが置かれているけども、クライアント機の
話だからサーバーではどうかねぇ。
システムディレクトリにあるプログラムで、MS製やメーカー製のものは
基本的には署名が入っているので、プロパティを見てみるといい。
偽装する可能性もあるので完全には信用してはいけないけども。
署名がないのはウィルスの可能性が高い。
あとは、手動とちょっと違うけども、HijackThisを使って見つけるとか。
参考:HijackThisによるログの取得と、不正エントリの修正(fix)方法 [higaitaisaku.com]
OS起動時ではなくIEを使った時点で動作しはじめるみたいなマルウェアもあるのよ。
数年前にはやったなー。
とまぁ、いろいろ書いてみたけど、ファイルをチェックする方法では、
ウィルスに感染した時期を基準にHDD内を全部検索してみれば、
ウィルス感染した後のものがずらずら出てくるのよね。
経験では、BOT系のウィルスはCドライブに感染するものばかりで
D以下のドライブへの感染は見たことがないけど、例外は何事にもあると思うので注意。
あとは、TCP/IPのダンプ取って調べるとか、netstatで調べるとかあるけど、
netstatの使い方は「netstat ウィルス」あたりのキーワードでぐぐってねということで。
何がトリガーとなって起動するか分からないウィルスだと、最終手段は通信を
モニタリングして活動をチェックすることになりますね。
ファイルがウィルスかどうか判断するのは、リバースエンジニアリングするなどして
解析する話ですが、その辺になるとサーバー管理とかのレベルじゃないんで
やっぱりぐぐれかすということで。これはこれで話のネタとしては面白くて
これだけで本が書けるくらいというか、ここが一番面白いと思うのですが、
まぁ、セキュリティソフトのメーカーに怪しいファイルを検体として
送って調べてもらうのがいいんじゃないでしょうか。
ブートセクタ感染型は多分手動で調べるのは無理というか大変なので
素直にソフトを使ってくださいということで。
いやーあんまり参考にならないですね!
Re:発見する方法 (スコア:1)
たしかにこれは有用なんだけど、レジストリのキー自体を隠すやつもいるんで、そういう場合は発見は困難でしょう。
# その技術を使った有名なものはSony XCP rootkit
Re:発見する方法 (スコア:2, 参考になる)
というやり方はrootkitには対応できないですね。
その辺はもうrootkit検出ソフトを使ってくださいとしかいいようがないですね。
Windowsだと、Sysinternals(MSが買収)のRootkitRevealerとか、
セキュリティソフト各社が出してる検出ツールがありますね。
F-SecureがBlack Lightってツール出してて私も使ったことありますが
今見に行ったらどこにおいてあるか分からない……と思ったら、
アンチウィルスのソフトに統合しちゃったみたいですね。
あとは昨年トレンドマイクロがルートキットバスターを出していますね。
これは使ったことがないですが。他社も最近はrootkit検出を
アンチウィルスソフト本体に統合しているようですね。
この辺使って検出できないって話なら、HDDを取り外して
別のPCにつないでそちらでチェックするしかないですかねぇ。
今Wikipediaのページ [wikipedia.org]見てたら、その一番下にソフトへのリンクがありますね。
まぁ、ウィルス対策ソフト入れてるだけみたいな手抜き管理しないで
事前にきちんと侵入への対策とっていればそんな苦労することはないですね。
Re:発見する方法 (スコア:1)
Sophosの [sophos.co.jp]でした。こちらは今でもDLして使えます。
Re:発見する方法 (スコア:1)
明らかに日々変更されるディレクトリやファイルはチェックからはずす。(アラートが上がりすぎるとチェックが甘くなる)
アラートが上がった場合、意図された変更なのか確認する。
linuxの場合はパーティションを適切に分けて実行ファイルが置かれるはずのないディレクトリはnoexecオプションを追加する。
ってだけでずいぶん違うと思います。
Re:用語を知らないと読めない記事 (スコア:1)
「なんとなく、読みにくい文章」ということでしょうか。
# 思い当たるフシがたくさんあるのでID
Re: (スコア:0)
# ・・・こんなコメントが付くと思わなかったAC
Re: (スコア:0)
Damballa, Kraken, Storm Worm は文脈から固有名詞であるのが分かるし
「最大規模~」と言ってるから、ボットネットがボットのネットワークなのも類推出来るだろう。
まさか、アンチウイルスが分からないわけじゃあるまいし
……バイナリコード?
Re: (スコア:0)
Re:用語を知らないと読めない記事 (スコア:3, おもしろおかしい)
#いやそれ普通じゃないって
Fortuneとは (スコア:1, おもしろおかしい)
ちなみに,かの有名な「悪のオーナー」ビンス・マクマホン(Jr.)はForbsにランク入りしたことがあります。
(こういう説明で分かるかな? 誤解しないでね!)
Re: (スコア:0)
そういう説明だと、
ああ、日本で言うとオリコンみたいなもん?
ととられそう。間違いともいえないけど。
Re:Fortuneとは (スコア:1)
# しまった。そのまんまだ。
Re: (スコア:0)
まあここは小学生でも読むことが出来るから知らない人がいる可能性については否定しない。
Re:用語を知らないと読めない記事 (スコア:1, おもしろおかしい)
あぁ、あれでしょ。
ログインしたときに、でてくるマーフィの法則みたいなの。それが500個?
# 今時だと、こっちの方が分かりづらいのか?
Re:用語を知らないと読めない記事 (スコア:1)
あれが何故fortuneなのか [wikipedia.org]を知っている日本人は更に少なそうだ。
Fortune 500が一般常識だと言わんばかりのコメントが多いけど、
スラドって株やってるの多そうだから常識だと錯覚してるんじゃね?
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
Re: (スコア:0)
普通の人、使いすぎ。小学校にもいってない子や年金生活者まで入れた「普通の人」なら知らないと思うけど、スラド読者限定なら注釈ナシで書いてもいいレベルの固有名詞だと思います(知らなくても"Fortune 500"でググったら検討がつきますから)。
Re:用語を知らないと読めない記事 (スコア:1, すばらしい洞察)
PIアドレスの件でググりもせずにマヌケな書き込みを大量に投下したスラド読者ですよ?
Re: (スコア:0)
それとも、貴方以外の知らなかったヒトに妥当でない検索タームで検索させ、
「ぐぐっても分からないじゃないか!」と自説を補強させる意図ですか?
普通は下手に分割せずにそのまま調べますよね?
ミスリードに感じるんですが、
普通の社会人として普通に経済記事などにも目を通していれば、
日本語報道しか見て無くても海外記事の転載で結構見掛けますけどねぇ...
Re: (スコア:0, 荒らし)
カルストンライトオの名字(冠名)と名前がちゃんと区切れますか?
# ミスリード言いたいだけなんだよね。
# 自分は見抜いてるぜっていう優越感に浸るために。
Re: (スコア:0)
区切る必要があるんですか?
知ったかぶりする時と言及対象の記述に間違いがあった時以外は、
言及対象の記述をあえて改変する必要は無いと思うんですけど、
> # 自分は見抜いてるぜっていう優越感に浸るために。
あぁ、ミスリードだったんですね。
納得しました。
Re: (スコア:0)
※知人が「ウイルス対策ソフトを入れてないけど何も不都合はない」とのたまっており説得の方法を模索中…。
※※このボットは見つからないんでしょうけど(^^ゞ
Re:用語を知らないと読めない記事 (スコア:1, おもしろおかしい)
快適なPCに慣れすぎるのは良くないと言っておくんだ。
Re:ところで、 (スコア:1, すばらしい洞察)
# こういうヤツ(#1326639)が一番危ない
Re: (スコア:0)
Re: (スコア:0)
#荒らしモデかフレームのもとモデをつけたいがモデ権がない
##顔文字に見えてちょっとなごんだ
Re: (スコア:0)
もう何年も続けて公共事業費が減っていって、「そのうち殺すぞ」といわれ続けているような段階で、まだ逃げずに土建屋を続けるなら仕方ないよね。
Re:ところで、 (スコア:1)
Re:ところで、 (スコア:1)
Re:(巨大海獣) (スコア:1)
# 内路の町 [google.com]に井戸があるかは定かではありませんが、少なくとも Temple はあります。