セキュリティ企業Damballaの研究者によると、P-to-P(ピアツーピア)通信を使用するマルウェアサンプルの数は過去12か月間に5倍に増加した。
この増加の最大の要因は、ZeroAccess、Zeusバージョン3、TDL4といった高度な脅威だと、Damballaの製品担当副社長であるStephen Newman氏は述べています。しかし、最近ではP-to-Pをコマンドアンドコントロール(C&C)チャネルとして採用したマルウェアファミリーも存在すると、Newman氏は付け加えました。
「高度なマルウェア脅威におけるP2Pの利用は以前から見られてきましたが、今ほど広く浸透したのは初めてです」とニューマン氏は述べた。こうした状況が今まさに起こっている理由は、集中型のC&Cインフラを混乱させる可能性のあるテイクダウン対策への備えとして、サイバー犯罪者が回復力を高めたいと考えていることに関係していると、ニューマン氏は述べた。
ボットネットマスターは、コントロールサーバーがシャットダウンされた場合、数千台または数百万台の感染したコンピューターにアクセスできなくなるため、ドメイン名生成アルゴリズム(DGA)の使用などの他の方法とともに、ボットネットクライアントが互いにコマンドを中継できる分散型P-to-P通信を回復力技術として検討している、と彼は述べた。
攻撃者にとってのもう 1 つの利点は、C&C サーバーに関連付けられた既知の IP アドレスとホストのリストに依存する従来のアプローチでは、悪意のある P-to-P トラフィックをネットワーク レベルで検出してブロックすることが難しいことです。
マルウェアの詳細
ダンバラのシニアリサーチサイエンティスト、ジョン・ジェリム氏は、「TDL4はおそらくP2P通信を利用するマルウェアファミリーの中で最も蔓延している」と述べています。しかし、TDL4のP2P通信チャネルは、ドメイン生成アルゴリズムを用いてC&Cサーバーにアクセスできない場合のバックアップとしてのみ使用されると、同氏は付け加えました。
TDL4は、マスターブートレコード(MBR)に感染するため、非常に永続的でコンピュータから削除するのが困難であることで最もよく知られています。MBRは、オペレーティングシステムが起動する前のブートプロセスで実行されるコードを含むハードドライブの特別なセクションです。この脅威は主に、ペイパーインストールスキームやサイバー犯罪者のアフィリエイトプログラムの一環として、他のマルウェアを配布するために利用されます。
Zeusバージョン3(GameOverとも呼ばれる)は、オンラインバンキングの認証情報やその他の金融データを窃取するトロイの木馬プログラムです。TDL4とは異なり、Zeusバージョン3はP-to-Pを主要なC&Cチャネルとして使用し、マルウェアがP-to-Pネットワークからどのピアにも到達できない場合はDGAにフォールバックします。
ZeroAccessは、コマンド&コントロール(C&C)の目的にP-to-P通信のみを使用するため、特に興味深い脅威です。この脅威は、Blackhole、Neosploit、Sweet OrangeなどのWebエクスプロイトツールキットを利用して拡散され、主にクリック詐欺やビットコインマイニングに利用されます。
ダンバラ社は火曜日、ZeroAccess、Zeus v3、TDL4におけるP-to-P通信の利用に関するレポートを発表しました。同社はまた、企業向けネットワークセキュリティアプライアンス「Failsafe」に、この種の悪意のあるトラフィックを検出する機能を追加しました。
ボットネット耐性
ドイツのインターネットセキュリティ研究所、アムステルダム自由大学、セキュリティプロバイダーのDell SecureWorksおよびCrowdstrikeの研究者らは最近、ピアツーピアボットネットの耐性に関するレポートを公開した。
「当社の評価では、KelihosボットネットとZeroAccessボットネットを混乱させるのに利用できる脆弱性が明らかになりました」と報告書には記されている。「しかし、ZeusボットネットとSalityボットネットは、P2Pボットネットに対する現在最も多く使用されている破壊的攻撃であるシンクホール攻撃に対して高い耐性があることも示しました。」
研究者らは、P2Pボットネットに対する代替的な緩和策を見つけることが「緊急に必要」であると結論付けた。
