米連邦捜査局(FBI)は、2014年6月2日(米国時間)、国際的な取り組みにより、オンライン銀行詐欺ツール「ZBOT」の亜種で、ピアツーピア(P2P)通信を利用する「Gameover」のネットワークを閉鎖したと発表しました。トレンドマイクロは、関係機関の 1つとして、このボットネットの活動の閉鎖に協力しました。
「ZBOT」のソースコードは 2011年5月に流出しています。この流出したソースコードを元に、「Gameover」をはじめ、「IceIX」や「Citadel」、「KINS」といった複数の亜種ファミリが作成されました。トレンドマイクロでは、これらの「ZBOT」の亜種を一括して「ZBOT」の検出名で検出対応しています。
同じソースコードを元にしていながら、「Gameover」と他の「ZBOT」の亜種ファミリの間には、決定的な違いがあります。それが P2P通信の利用です。「ZBOT」は通常、環境設定ファイルで定義された特定の C&Cサーバのみに接続します。サーバがアクセス不可となった場合には、「ZBOT」は、攻撃対象銀行の URL を含む動的な環境設定ファイルをダウンロードすることができません。しかし、「Gameover」は、コマンド&コントロール(C&C)サーバへの通信に P2P通信を利用するため、ネットワークの完全な閉鎖が困難であるとされていました。
P2P の機能を搭載した「ZBOT」、つまり「Gameover」の最初の亜種(「TSPY_ZBOT.SMQH」として検出)は、2011年9月末に初めて確認されました。ユーザがだまされて不正なリンクをクリックすると、不正な Webサイトに誘導され、「Blackhole Exploit Kit(BHEK)」がダウンロードされます。BHEK は、さまざまなソフトウェアの脆弱性を利用し、その当時に最もよく利用されたエクスプロイトキットでした。
最近になっても、「Gameover」は、スパムメールを介して拡散し続けており、侵入時には「UPATRE」のような他の不正プログラムの助けを借りています。「UPATRE」ファミリの不正プログラムは、一般的に Eメールの添付ファイルとして侵入し、感染PC上に他の不正プログラムをダウンロードします。この際、ファイアウォールのフィルタを回避するために、暗号化された実行ファイルをダウンロードします。「UPATRE」ファミリによりダウンロードされる、これらの新しい亜種の一部は、「TSPY_ZBOT.ABTE」として検出されます。
トレンドマイクロの調査によると、「Gameover」の作成ツールは、個人に販売されておらず、非公開で運用されています。つまり「Gameover」は、複数のボットネットが存在するのではなく、たった 1つのボットネットで運用されていることになります。「Gameover」は、確認された当初から、同じストリーム暗号「RC4」を利用し、ダウンロードされた環境設定ファイルを復号しています。このことも、「Gameover」の閉鎖を困難にさせました。なぜなら、新しい環境設定ファイルと更新されたバージョンをボットネット全体で素早く共有できるからです。
■「Gameover」の P2P通信フロー
「Gameover」は、まず初めに、静的な環境設定ファイルを復号します。このファイルには、ハードコード化された他のボットの情報とダウンロードした環境設定ファイルを復号するための RC4鍵が含まれています。通常、この静的な環境設定ファイルには、異なるポートとコミュニケーションキーを持つ 20 の IPアドレスが列挙されています。
「Gameover」のボットは、この環境設定ファイルの情報にある 20 のボットが、ボットネットに接続しているかを問い合わせます。他のボットに接続すると、更新された環境設定ファイル、バイナリおよびボットの IPアドレスのリストをダウンロードできます。
20 のすべてのボットがボットネットに接続していなかった場合、この「Gameover」は、C&Cサーバに接続を試みます。この C&Cサーバの URL を探すために、毎週初めに更新される「Domain Generation Algorithm(DGA)」を利用してドメインを生成します。そのため、このボットネットを完全に閉鎖することがますます難しくなります。
■「ZBOT」と「CryptoLocker」のつながり
「Gameover」ボットネットの閉鎖は、「CryptoLocker」にも影響を与えました。弊社は、2013年10月、「ZBOT」と「CryptoLocker」のつながりを示す、スパムメール送信活動を確認しました。このスパムメールに添付された「UPATRE」の亜種が「ZBOT」の亜種をダウンロードし、この「ZBOT」が感染PC上に「CryptoLocker」をダウンロードします。つまり、「CryptoLocker」が、この感染連鎖の最終目的ということになります。
弊社が以前のブログ記事で述べたように、「CryptoLocker」ファミリは、特定のファイルを暗号化し、感染した PC をロックする「身代金要求型不正プログラム(ランサムウェア)」として知られています。一度 PC が感染すると、ユーザは、暗号化されたファイルを元に戻すために「身代金」を払うように要求されます。以下は、「身代金」の支払方法の一例です。
- Bitcoin(ビットコイン)
- ashU
- MoneyPak
- Ukash
最新の「Gameover」の更新では、悪名高いルートキットの「NECURS」ファミリも含まれています。「NECURS」をインストールをする目的は、ファイルやレジストリ、また「Gameover」に関するプロセスの存在を隠ぺいし、削除をさらに困難にさせるためです。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Lord Alfred Remorin (Senior Threat Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)