検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

送付可否を確認する「優秀」なスパムボット

攻撃の有効性を高めるために
ブラックリストを使用

Brandon LeveneおよびBrandon Young 10 24, 2016 at 05:00 午後

※本記事は2016年10月19日に米国で掲載されたブログ記事の抄訳を基にしています。

Unit 42のリサーチャーが、高性能なスパムボットが攻撃の有効性を高めるためにレピュテーション ブラックリスト サービス API を悪用しているのを発見しました。

このスパムボットはホストに感染したらすぐに送信するのではなく、自らブラックリストをチェックして有効かどうか確認し、電子メールが配信されていない場合はシャットダウンする仕組みを使っていました。このボットは通常、Andromedaマルウェアによってダウンロードされ、製薬業界へスパムを配信し、さらにメインのAndromedaボットを拡散していることが観察されています。また、地理的にはイタリアで多く見つかっていますが、作成者が特定の地域ではなく、グローバルレベルで網羅しようとしている様子が見受けられます。

Microsoftは、このマルウェア ファミリをSarvdapと呼んでいますが、出現がどちらかというと一般的に見える点に注意する必要があります。弊社では、このマルウェアのその他の正式名称を特定していないため、このファミリを引き続きSarvdapと呼びます。

マルウェア

マルウェアは、関数名と文字列のハードコード化されたアドレスを使用しますが、適切に実行するために、0x20010000にあるモジュールのベースに依存しています。これに当てはまらない場合、マルウェアは関数アドレスまたは文字列参照を解決できず、機能しません。初期実行時に、マルウェアは自身のコピーを%windir%フォルダーにドロップし、新しいsvchost.exeプロセスを実行して、メモリを割り当てることで自身を初期化し、メインのボット コードをこのプロセスに挿入して、分析を回避するためにデバッガを確認し、ミューテックス“Start_Main_JSM_complete”を作成します。

この段階が終了すると、マルウェアはwww.microsoft.comへの接続テストを行います。この接続チェックに合格すると、マルウェアは、ホスト IP のレピュテーション ステータスを判別するために複数のブラックリスト フィードの列挙に進みます。マルウェアが、それが終了を招いたブラックリスト化されたホスト上ではないと判断した場合は、TCPポート2352を介してハードコード化されたコマンド アンド コントロール(C2) サーバにビーコンを送信します。この交換の詳細は、以下の付録に記載されています。

C2がオンラインで、ホストがRBLチェックに合格した場合のみ、マルウェアは設定ファイルのダウンロードと読み取りを待機し、この情報を使用して多数のデータ構造にフィールドを埋め込みます。分析時には設定を提供するサーバがオフラインだったため、私たちは提供/予期された実際の設定ファイルを取得できませんでした。正確さを維持するために、設定に何が含まれていたかについては現時点で推測しません。これは、このマルウェアのもっとも興味深い機能がまだオリジナルのコードの中に存在するからです。    

図1 マルウェアによって実行されたDNSルックアップ(AutoFocusより)    
 
稼働中のホストでのこのサンプルのメモリ分析中に、追加のホスト列挙コマンドが特定されました。

RBLチェック機能

このマルウェアが興味深いのは、一般的に知られているブラックリスト サーバのハードコード化されたリストが含まれている点です。これらのサーバは、感染したホストをチェックし、この感染が有効かどうか、提供されたブラックリストに含まれていないかどうかを判断するために使用されています。ブラックリストは世界中から包括的に収集され、作成者が特定の地域ではなく、グローバルレベルで網羅しようとしていることを示しています。

このチェックのセマンティクスは、オンラインで見つかったコード スニペットに似ています。この関数の擬似コードを以下に示します。

図2 DNS RBLルックアップと決定ツリーを表す擬似コード
 

ブラックリストURLごとにGetHostByName()関数を呼び出し、IPがブラックリストに含まれているかどうかを確認して、IPアドレスがDNSブラックリストに含まれている場合は、IPアドレスではなくそのホスト名(IP+ブラックリストアドレス)を返します。

IPがブラックリストに含まれていない場合、マルウェアは、S5R: %u: OK (%u引数は、チェックしている現在のブラックリスト サーバ)をサーバに送信します。

このマルウェアは、ブラックリスト化されたホスト上にいると判断した場合はプロセスを終了します。

結論

フィッシング電子メールは、いまだに企業、政府、ホーム ユーザーにとって広く知られている脅威です。大規模なスパム中心のボットネットが、侵害されたホストから、1日に数十万通のメッセージを大量生産し続けています。Sarvdapの興味深いところは、レピュテーション ブラックリストを活用して全体的なスパム配信を増やそうとしている点です。

Palo Alto Networksのお客様は、脅威防御とWildFireを通じてこのファミリから保護されています。さらに、AutoFocusのお客様はSarvdapタグを介してこのマルウェアを追跡できます。

付録: Phone Homeの交換の例

以下は、Sarvdapに感染したホストとの交換の例です。ホスト ID (srv_00000000000000000000000000000000)は感染したホストによって変わる点に注意してください。

初期ビーコン:

C2の応答:

ホストの応答:

ホストの応答メッセージの“rbl”フィールドは、ブラックリストにヒットした合計数をレポートするために表示される点に注意してください。

32waaw3werfgb

分析に使用したサンプル:
117172d6c59957be3c7a3c60cc0978ae430e3c15cb2e863cc5227b5fd0058ded

C2サーバ
dop.premiocastelloacaja[.]com
k1.clanupstairs[.]com
mall.giorgioinvernizzi[.]com


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.