「Gameover」の新しい亜種を確認。「Domain Generation Algorithm」機能を改良

2014年6月、米連邦捜査局(FBI)は、オンライン銀行詐欺ツール「ZBOT」の亜種「Gameover」のネットワークを閉鎖しました。この閉鎖はボットネット「ZBOT」の活動規模に大きな影響を与えましたが、サイバー犯罪者は、何の手段も取らずに、ただ黙っているだけではなかったようです。

接続先ドメイン名生成の仕組みである「Domain Generation Algorithm(DGA)」の利用は、「Gameover」で重要な役割を果たしています。トレンドマイクロの製品で「TROJ_ZBOT.YUYAQ」として検出される新しい亜種は、この手法をさらに強化しました。実際、この不正プログラムは、DGA をどのように利用しているのでしょうか。

ドメインは、システムによって生成されるハッシュ関数「MD5」の結果に基づきます。ハッシュを計算する要素は、以下のとおりです。

  • 現在の日/月/年
  • 0×35190501 のハードコードされた値
  • tick count(PC が起動してからの時間)

この不正プログラムは、どのようにこのハッシュ値からドメイン名を生成しているのでしょうか。あるハッシュ値を例に説明するのがよいでしょう。例えば、MD5値の結果が「0xf1d73a971e50a68419c7f70764f34f1e」だと仮定します。これを 4バイトの 4つのワードに分けることができます。以下は、最上位から順に並べたワードです。

  • 0xf1d73a97
  • 0x1e50a684
  • 0x19c7f707
  • 0x64f34f1e

それぞれのワードは、初期値としてそのワードを用いて、同じアルゴリズムを使用して以下のように処理されます。

  1. 入力数を 0×24 で割る
  2. 手順 1 の剰余を、0×30 および 0×57 に加える。それぞれを X、Y と呼ぶ。
  3. 標準値を使用して、X と Y を ASCII文字に変換する。変換された 2つの文字のうち、結果が数字か小文字になるものを使用する。
  4. 次の文字を生成するために、手順1 の商を入力数としてこのアルゴリズムを繰り返す。商が 0 になれば、アルゴリズムは終了し、結果の文字列が完成する。

上記のアルゴリズムにより、「0xf1d73a97」は、文字列「tdcly51」に変換されます。この不正プログラムは、この文字列を反転させるため、「15ylcdt」という結果になります。

各ワードは、この方法で文字列に変換されます。そして、結果として生成された文字列は連結して、1つの長い文字列になります。今回の場合、この MD5 のハッシュは、「15ylcdt10t00m627l7a18es4f8」に変換されました。この文字列は、コマンド&コントロール(C&C)サーバのホスト名として利用されます。

利用されるトップレベルドメイン(TLD)は、「.biz」、「.com」、「.net」、「.org」のいずれかです。どの TLD を利用するかは、システムの tick count によって異なります。

この不正プログラムが実行されるたびに、1日当たり、最大 500 の異なるドメイン名を生成します。また、最大 1500 の固有ドメインが生成されます。この不正プログラムは、このように大量のドメインを生成する機能を備えていると考えられますが、実際に利用されるドメインはそれに比べると少ないものとなっています。弊社が確認した「Gameover」のこの亜種に関連したドメインはたった 23 です。また、この亜種の被害にあったユーザの 4分の3 以上が、米国のユーザとなっています。図1 は、感染被害を受けたユーザの世界の分布図です。地図上の青い印は、C&Cサーバが置かれている場所を示しています。

図1:「Gameover」の感染被害を受けたユーザの分布および C&Cサーバの設置場所
図1:「Gameover」の感染被害を受けたユーザの分布および C&Cサーバの設置場所

ネットワークトラフィックを隠蔽しようとする不正プログラムが DGA を利用した事例は、今回が初めてではありません。しかし、これが最後の事例となることもないでしょう。DGA の利用が、C&C とのトラフィックの検出を困難にする効果的な方法であるかぎり、不正プログラムはこの手法を利用し続け、ユーザに被害を与えると思われます。

今回の攻撃に関するハッシュは以下のとおりです。

  • 591567291435e4e1394aac27a0c4bbb1d5bdd47e

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:Marilyn Melliang および Marco Dela Vega

参考記事:

  • Gameover Increases Use of Domain Generation Algorithms
    by Alvin Bacani (Research Engineer)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)