政府系や有名企業を標的とすることを表明しているハッカー集団「LulzSec(ラルズセック)」。このラルズセックが他のハッカー集団「Anonymous(アノニマス)」と活動を共にすると表明したことで日本でもニュースになりました。そしてこのハッカー集団は、2011年6月22日、同集団のブラジル支部がブラジル政府の2つの Webサイトに「分散型サービス拒否(DDoS)攻撃」を仕掛けたと Twitter 上で表明しました。
「TrendLabs(トレンドラボ)」では、この攻撃に利用されたと思われる PC からボットクライアントのサンプルを入手しました。ラルズセックによる DDoS攻撃は、今回が初めてではなく、過去には、英国の「重大組織犯罪庁(SOCA)」や米国の上院、そして日本の大手電機メーカーなどの Webサイトが標的となったことが既に報道されています。
ラルズセックは、アノニマスとともに話題となっているハッカー集団です。上述のとおり、この2つのハッカー集団は、2011年6月20日、世界中の政府や金融機関、企業に対し宣戦布告しました。また、「Operation Anti-Security」という信念を掲げ、他のハッカー集団に賛同を呼びかけました。
今回攻撃に利用された感染PCで確認されたボットクライアントの不正ファイルは、トレンドマイクロの製品では「BKDR_ZOMBIE.SM」として検出されます。このバックドア型不正プログラムは、特定の IRCサーバに接続し、特定の IRCチャンネルに参加しコマンドを受信します。
具体的には、以下のコマンドを実行する機能を備えています。
- 「attack」-WebサイトまたはIPアドレスへのサービス拒否(DoS)攻撃の実行
- 「stop」-特定の標的へのDoS攻撃を終了
- 「stopall」-標的すべてへのDoS攻撃を終了
- 「status」-ボットクライアントが実行する攻撃状況の表示
- 「update」-自身のコピーの更新版ファイルをダウンロードおよびインストール
- 「info」-ボットクライアントによりゾンビ化したPCについて以下の情報の表示
・IPアドレス
・コンピュータ名
・ドメイン
・ユーザ名
・OSの種類
・ワーキングセット(アプリケーションが利用している物理メモリ領域)
・共通言語ランタイムのバージョン
ラルズセックがこのバックドア型不正プログラムを他の攻撃にも利用したかどうか、今回のサンプル解析から判断するのは困難ですが、この不正プログラムが大きな脅威であることに間違いはありません。
トレンドマイクロ製品のユーザは、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、既に上記の脅威から守られています。トレンドマイクロは、今後も本件に関連した事例を引き続き監視していきます。
参考記事:
- 「Lulzsec’s Brazil DDOS Attack Code」
by Ranieri Romera (Senior Threat Researcher)
翻訳・編集:宮越 ちひろ(Core Technology Marketing, TrendLabs)
【更新情報】
| 2011/06/27 | 19:30 |
2011年6月25日、本ブログで紹介している攻撃にも関与しているとみられる「ラルズセック」というグループ名で活動しているハッカー集団がに活動終了の宣言を行っています。
ラルズセックという集団が関与しているとみられる被害事例は多く、標的となった企業や団体のサーバへの攻撃やそれによる情報漏えい等が確認されています。また、同集団は、活動終了宣言する一方、「Operation Anti-Security」への参加を呼びかけ、引き続き「アノニマス」などの他のハッカー集団への参加を促しています。こうしたことから、他のハッカー集団から攻撃をうける可能性はまだあるといえるでしょう。 引き続きトレンドマイクロではこのような攻撃に対して注視を行っていきますが、改めて脆弱性管理等の基本的な対策を見直すとともに攻撃された場合の被害を最小限にできるような検知の仕組みや運用管理方法も検討していく必要があります。 |
| 2011/06/28 | 19:30 | 「BKDR_ZOMBIE.SM」が実行するコマンド「stop」「stopall」「update」の説明を更新しました。 |
| 2011/06/30 | 11:00 | 「Trend Micro Threat Management Solution(トレンドマイクロ スレットマネジメントソリューション)」の監視センサー「Trend Micro Threat Discovery Appliance」では、パターン「NCIP 1.11441.00」および「NCCP 1.11433.00」により検出対応しており、同製品をご利用のユーザが使用しているネットワークシステムは、今回のような DDoS攻撃の「加害者」にならないよう防御されています。 |