BOTとは何か?[後編]

なぜBOTは増殖するのか

岡本 勝之
トレンドマイクロ株式会社
トレンドラボ・ジャパン アンチウイルスセンター
ウイルスエキスパート
2005/9/23

 ウイルス対策ソフトへの対策

 BOTの機能のうち、表面的には分かりにくいもののウイルス作者が力を入れてカスタマイズする部分としてウイルス対策ソフトに検出されづらくする工夫があります。ウイルス作者の常とう手段としては自分が作成したBOTが各種ウイルス対策ソフトの最新バージョンで検出されないことを事前に確認する、ということがあります。ウイルス対策製品とウイルス作者のイタチゴッコが亜種・変種数の増加の最も大きな要因といえるでしょう。

 検出を回避するための工夫には大きく分けて2種類があります。1つは感染したPCで見つからないようにする工夫。もう1つは解析を手間取らせるための工夫です。

1.圧縮化、暗号化

 これは感染したPC上で検出されないようにする工夫です。多くのウイルス対策製品はパターンマッチングという手法でウイルス検出を行います。これはウイルスから特徴的なコードを抜き出してマッチした場合に検出するプログラムファイルに対する指紋照合ともいえる方法です。

 これをすり抜けるためには指紋、つまりウイルスコードの形を変えてしまうことが必要です。人間の場合、指紋を変えることは容易ではありませんが、ウイルス作者はウイルスコードを暗号化したり、圧縮されたままでも実行可能な形に圧縮したり(コンプレッサーと呼ばれる)することによってコードの形を変えます。最も代表的なコンプレッサーとしては「UPX(Ultimate Packer for eXecutables)」というソフトがあります。

 同じウイルスコードでもウイルス対策製品が対応していない圧縮や暗号化をすることによって何度でも「新種」として通用するようになります。BOT作成ツールにはより簡単に圧縮形式や暗号形式を選択できるものもあります。

2.ウイルス対策ソフトなどセキュリティ関連ソフトの無効化

 ウイルス対策製品に検出されないことを確認したとしても、いつかは対応され検出されるようになります。ウイルスにとっては侵入したPC内でウイルス対策製品が稼働していた場合には速やかに活動を止めてしまうのが無難です。ウイルス作者はウイルス対策ソフトのプロセスを強制終了させる機能を組み込みました。ウイルス対策ソフトのプロセス名のリストは容易に入手できます。

 また、ウイルス対策ソフトが稼働していても検出されなければいいということで、ウイルス対策ソフトのアップデートができないようにウイルス対策ベンダなどのダウンロードサイトへのアクセスを妨害する方法も編み出されました。これについて一番多いのは Windowsのネットワーク設定ファイルであるhostsファイルのアドレス設定を変更するやり方です。

3.アンチデバッギング手法/デバッガ・VM対策

 これは解析を手間取らせることによって対応を遅らせるための方法です。解析がしにくいようなプログラミングとしてデバッガの管理下で起動している場合や、仮想マシン上で稼働していると判断した場合、活動を停止するようにプログラミングが行われています。これらも作成ツールでは容易に選択が可能になっています。

 これらの「ウイルス対策ソフトへの対策」ともいうべきBOTの機能は、すべてのセキュリティを無効にしてしまうものではありません。しかし、有効な手段の1つではあります。また、ウイルス作者側から見れば、ウイルス対策製品に対応されて使えなくなってしまった道具はもう使わず、新しい道具を作って使えばいいだけなのです。

 BOTのワーム活動

 もう1つカスタマイズの例としてネットワークワーム活動を見てみましょう。BOTのネットワークワーム活動としては、ネットワーク上の共有フォルダへの自身のコピー、セキュリティホールへの攻撃による自動侵入、PtoPファイル共有ソフトのファイル共有システムに自身のコピーを登録するといったところが主なものです。

 共有フォルダへのコピーには、ハッキングの世界では常識である辞書攻撃という手法がよく取り入れられています。あらかじめ用意されたパスワード候補のリストを全部試行することによってパスワードを破るやり方です。当然、パスワード候補のリストの内容が侵入の成否に大きく関係してくるのですが、このリストはウイルス作者によるカスタマイズがしやすい部分です。

 カスタマイズの特に顕著な例として、攻撃対象を特定したパスワードリスト作成があります。一般的にありがちな安易なパスワードのほかに、侵入させたい企業の中でパスワードとして使われていそうな企業名や商品名などをリストに含めるのです。従業員の名前から推測されるアカウント名などもリストに含めます。日本の企業で発見された例では日本語のパスワードが含まれていたという報告もありました。

 セキュリティホールを攻撃するためのコードをエクスプロイトと呼びますが、エクスプロイトの組み込みも改造の容易さが表れるところです。エクスプロイトにより最初に大流行したウイルスは2001年の「コードレッド」です。それ以来セキュリティホールを利用した侵入はウイルス作者には当然のこととなりました。

 有効なエクスプロイトを使うウイルスが出現したのに追従して、同じエクスプロイトを組み込んだBOTの亜種が多く作成されます。最近の例では2005年8月17日に登場した「MS05-039:プラグアンドプレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる」のエクスプロイトを利用する初めてのワーム「WPRM_ZOTOB」はBOT系のプログラムを改造したものといわれています。

2/3


Index
なぜBOTは増殖するのか
  Page1
オープンソースのウイルス
Page2
ウイルス対策ソフトへの対策
BOTのワーム活動
  Page3
BOTへの対策

BOTとは何か
  前編 変幻自在なBOTの正体を暴く
  後編 なぜBOTは増殖するのか

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH