HOME >> 情報セキュリティ >> 調査・研究報告書 >> 情報セキュリティ技術動向調査(2009 年上期) >> 6 大規模感染型マルウェアConfickerの動向調査とダークネット観測事例
情報セキュリティ技術動向調査(2009 年上期)
6 大規模感染型マルウェアConfickerの動向調査とダークネット観測事例
井上 大介
1. はじめに
Conficker(別名Downadup)およびその亜種は、インターネット上で近年稀に見る大規模感染を引き起こしているマルウェアであり、2008年11月21日に最初の発見報告がなされて以降、急速に感染を広げ、2009年1月時点の感染ホスト数は約900万台[1]、その1カ月後には約1200万台[2]に達しているという報告もあり、2009年7月末現在においてもConfickerの蔓延は収束していない。本稿では、Confickerおよびその亜種が有する多彩な機能を概説するとともに、2009年上半期のダークネットによるConfickerの観測事例を示す。
2. Confickerの感染機能
Confickerは下記のように、グローバルネットワーク、ローカルネットワーク、リムーバブルメディアのそれぞれに対応した感染機能を備えている。
- インターネット経由の感染 Confickerに感染したホストは、インターネットの複数のグローバルアドレスに対し、TCP 445番ポートへのスキャンと、それに引き続きWindows Server Serviceの脆弱性(MS08-067[3])を突く攻撃を試みる。検出を難しくするよう、スキャンの速度は、感染したホストの通信帯域や使用状況(キーボード操作の有無)に応じて調節されている[4]。
- Windowsネットワーク経由の感染 Confickerに感染したホストは、自身が所属するローカルエリアのWindowsネットワークにおいて、管理者権限の悪用による他のホストへの侵入や、脆弱なパスワードを持つホストに対する辞書攻撃を試みる。
- リムーバブルメディア経由の感染 Confickerに感染したホストは、USBメモリなどのリムーバブルメディアにAutorun.infファイルとConficker自身をコピーし、そのリムーバブルメディアが他のホストに接続された際に、自動再生機能によってユーザの誤操作を誘発することで感染を試みる[5]。
このように、複数の有効な感染機能を持っていることがConficker蔓延の一要因であると考えられる。特に、組織外部で使用したUSBメモリの持ち込みによって組織内部のホストが感染し、さらにそのホストがローカルエリアで感染を広げるという流れで、ファイアウォールやIDS/IPSを設置して外部からの攻撃を遮断しているはずの組織が、内側から内部感染を起こしているケースが多いと見られている。
3. Confickerのその他の機能
Confickerは上記の感染機能の他にも様々な機能を有しており、ある意味、コンピュータ技術とネットワーク技術の結晶とも言える。ここでは、それら機能のうち特徴的なものの概要を記す(なお、Confickerの解析結果の詳細についてはSRI Internationalのテクニカルレポート[6][7]を、日本語ではマイクロソフトのブログ[8][9][10]等を参考のこと)。
- 複数のWindowsサービスを停止 Windows Update Service、Windows Defender、Windows Error Reporting Services、Background Intelligence Transfer Serviceなどのサービスを停止し、OSのアップデートや、アンチウィルスソフトの動作を妨害する。
- 特定のオンラインサービスへの接続を妨害 感染ホストのメモリ上のdnsapi.dllにパッチを当て、主にアンチウイルスベンダやセキュリティツール提供サイトへのDNS名前解決を妨害する。
- Windowsファイアウォールを無効化 Windowsファイアウォールの無効化を行い、後述するP2Pネットワーク確立のために、ハイポートのパケットの送受信を可能とする。
- Windowsの復元ポイントをリセット Windowsの復元ポイントをリセットすることでOSの復旧を妨害する。
- GeoIP データベースにより標的ホストの言語環境を推測 GeoIPと呼ばれるIPアドレスと地理情報の対応を示すDBによって、標的となるホストの言語環境を推測し、攻撃コード生成に利用する。オリジナルのConficker AではGeoIPをmaxmind.comからダウンロードしていたが、亜種のConficker Bではコード内にRC4で暗号化されたGeoIPが含まれている。
- 時間情報をシードにランデブーポイント(URL)を生成 Confickerに感染したホスト群が自律分散的にランデブーを行えるよう、時間情報(UTC)をシードとして、ランデブーポイントとなるURLを動的に生成する機能を有する。ランデブーポイントからはConfickerをアップデートするためのバイナリファイルがダウンロードされる。
- ダウンロードされたバイナリファイルの署名検証 ランデブーポイントからダウンロードされたバイナリファイルにはConfickerの作者によるRSA署名が付加されており、Conficker自身が署名検証を行う(つまり、Conficker作者以外のアップデートを防止している)。Conficker Aのコードに含まれる署名検証鍵の鍵長は1024 bitであるのに対し、Conficker Bでは4096 bitに拡張されている。
- 感染ホスト間でのP2Pネットワークの確立 Conficker Dからは、上記のランデブーポイントに加え、感染ホスト間でP2Pネットワークを確立して連動することが可能となっている。このP2P機能でもまた、時間情報がシードとして使用されており、時刻同期には有名Webサイトへの空のGET要求が利用されている。
P2Pの受信側の感染ホストは、自身のIPアドレスと時間情報(epoch week)を基に生成したハイポートを用いてUDPおよびTCPでリッスンする。一方、送信側の感染ホストは、ランダムに生成した宛先IPアドレスとそれに対応したハイポート(受信側と同様の方法で生成)の組でTCPもしくはUDPパケットを送信する。このような手法によってスーパーノード等に頼らないランデブーを実現し、感染ホスト間でP2Pネットワークを確立している。ただし、その副作用として、P2PのランデブーのためのTCP/UDPパケットを大量に発生させることになる 。
4. ダークネットによるConfickerの観測事例
ここでは、情報通信研究機構のnicterシステムによる、2009年上半期のダークネットの観測事例を通じて、Confickerの活動状況を概観する。本観測では/16ダークネットに設置したセンサA 2(図中橙色)と、/24ダークネットに設置したセンサB(図中水色)の2つのブラックホールセンサを用いた。また、観測期間はConficker Aが発見された2008年11月から2009年4月末までとし、Conficker AからEまでの発見日をそれぞれ黄色の縦線で示している。なお、Confickerおよびその亜種の出現時期や機能の変遷については文献[11][12]に詳しい。
(1) 総パケット数
図 1は観測期間中の1日ごとの総パケット数を示している。図中の左軸がセンサAに、右軸がセンサBに対応している(以降の図も同様)。
図 1 総パケット数の推移
センサAとセンサBが観測するダークネットはネットワークアドレス的に離れた位置にあり、アドレス数も大きく異なるが、Conficker Aが発見された2008年11月21日以降、極めて類似した増加傾向を示している。2008年11月初旬と2009年4月末のパケット数を比較すると、センサAでは2倍以上、センサBでは4〜5倍程度の増加となっている。これはConfickerによるTCP 445番ポートへのスキャンパケットの増加と、P2PのランデブーのためのTCP/UDPパケットの増加が原因である。
(2) 総ユニークホスト数
図 2は観測期間中の1日ごとの送信元ホストのユニーク数(ユニークホスト数)を示している。
図 2 総ユニークホスト数
センサA、Bとも、Conficker Aの発見日にユニークホスト数が大きく増加し、Conficker Bの出現によってその増加に拍車が掛かり、Conficker Cの出現後も同様の増加傾向を示している。これは、TCP 445番ポートへのスキャンを行う感染ホスト数の増加が大きく影響している。
Conficker Dの出現以降は両センサに異なる傾向が見られる。この原因としては、1) Conficker Dでネットワーク経由の感染機能が一旦停止され(Conficker Eで復活)、TCP 445番ポートへアクセスする感染ホスト数が一時的に減少したこと、2) Conficker DでP2Pのランデブー機能が追加され、ハイポートのTCP/UDPパケットを送出する感染ホスト数が増加したこと、3) センサBが観測しているダークネットが、P2Pのランデブー用パケットの届きにくいブロックに位置していたこと、などが考えられる。
2008年11月初旬と2009年4月末のユニークホスト数を比較すると、センサAで50倍以上、センサBで80倍以上と大きな増加率を示しており、Confickerの感染規模の大きさが現れている。
(3) TCP 445番ポートのユニークホスト数
図 3は観測期間中の1日ごとのTCP 445番ポートに限定したユニークホスト数を示している。
図 3 TCP 445番ポートのユニークホスト数
TCP 445番ポートへアクセスしたホストのみを抽出すると、センサA、Bともほぼ同一の変化傾向を示しており、Confickerの影響がさらに色濃く現れている。2008年11月初旬とピーク時(2009年3月4日)のTCP 445番ポートにおけるユニークホスト数を比較すると、センサAで180倍以上、センサBで350倍以上と非常に大きな増加率を示している。Conficker Dの出現で一時的にユニークホスト数が減少するものの、その後再び増加に転じ、2009年5月以降も増加を続けている。
5. まとめ
本稿ではConfickerの多彩な機能を概説し、Confickerに関連したダークネット観測事例について述べた。ネットメディア等での報道は一段落した感があるが、Confickerの蔓延は2009年7月末現在でも収束しておらず、継続的な経過観察が必要である。
以上
参考文献
| [1] | F-SECURE, "Calculating the Size of the Downadup Outbreak," Jan 16, 2009. |
| [2] | Jose Nazario, "The Conficker Cabal Announced," ARBOR NETWORKS, Feb 12, 2009. |
| [3] | Microsoft Security Bulletin, "MS08-067 - Critical," Oct 23, 2008. |
| [4] | Eric Chien, "Downadup: Attempts at Smart Network Scanning," Symantec Security Blogs, Jan 23, 2009. |
| [5] | Ziv Mador, "Centralized Information about the Conficker Worm," Microsoft Malware Protection Center, Jan 22, 2009. |
| [6] | Phillip Porras, Hassen Saidi, Vinod Yegneswaran, "An Analysis of Conficker Logic and Rendezvous Points," SRI International Technical Report, 4 Feb, 2009. |
| [7] | Phillip Porras, Hassen Saidi, Vinod Yegneswaran, "Conficker C Analysis," |
| [8] | 日本のセキュリティチーム (Japan Security Team), " Conficker.B," Jan 14, 2009. |
| [9] | 日本のセキュリティチーム (Japan Security Team), "Conficker(Downadup)ワームに関するまとめ," Jan 24, 2009. |
| [10] | 日本のセキュリティチーム (Japan Security Team), " Conficker.C (Downadup)," Feb 27, 2009. |
| [11] | Vincent Tiu, “Information about Worm:Win32/Conficker.D,” Microsoft Malware Protection Center, Mar 27, 2009. |
| [12] | Malware Encyclopedia, “Win32/Conficker,” Microsoft Malware Protection Center, Jan 8, 2009. |