KOOBFACE - TwitterへのDDoS源?世界最大のWeb2.0ボットネット

2009/8/7-2

KOOBFACEというマルウェアに関して調べてみました。 KOOBFACEは登場してから1年ほど経過しているようですが、Web2.0を活用するマルウェアとしては最も巨大なボットネットを構成しているようです。 また、Web2.0を活用するマルウェアとしては、1年は非常に長生きな部類に入るようです。

TwitterへのDDoSとKOOBFACE

昨晩、Twitterに対するDDoSが発生しました。 ITMediaでは次のように報じています。「ITMedia : TwitterとFacebookがDoS攻撃で一時ダウン、マルウェア攻撃も復活」。

この記事を読むとKOOBFACEというマルウェアとTwitterへのDDoSには関連があるような感想をうけました。 ITMediaがソースとしているロシアのセキュリティ企業Kaspersky Labのブログには以下のように書かれています。

Viruslist.com : Twitter down

Most likely the Koobface attack and Twitter going down at the same time is just a coincidence - but hey, there's a good part about this story too: at least we're not seeing new malicious tweets anymore.

Koobfaceからの新たな攻撃とTwitterへのDDoSのタイミングが一致したのは、恐らく偶然だろうとしています。 「Koobfaceによる新たな攻撃」に関しては「Viruslist.com : New tricks for Koobface 」をご覧下さい。 Twitter側がGoogle Safebrowsing APIを使ってマルウェア配布をしているURLを遮断し始めたけど、Koobface側はURL短縮を巧みに利用して回避し始めたという記事です。

他にも「CNET Japan : 「Twitter」や「Facebook」へのDoS攻撃の標的はたった1人の活動家」のような記事もあるので、誰が何の目的でDDoSを行ったのかは、まだ謎のままです。 恐らく、永遠に謎のまま終わるのではないかと予想しています。

実はKOOBFACEやその他マルウェアが、各種Socialサービスを踏み台とするための新しい手法を実装したものにバグが含まれていて、意図せずにDDoSになってしまったというオチもあったりするんですかね? でも、やっぱり真相は知られないまま時間が過ぎて行くのかも知れません。

KOOBFACEの解説

8月6日にトレンドマイクロ社のブログにてKOOBFACEの詳細な解説が公開されていました。 「Trend Micro : The Real Face of KOOBFACE」。 非常に詳細に解説されてありました。 同ブログに掲載されている全体像を表した図も非常にわかりやすかったので是非ご覧下さい。

以下、トレンドマイクロ社ブログに掲載されていたPDFに記載されているKOOBFACEの機能に関する要約です。

感染経路

KOOBFACEはFacebook,MySpace,TwitterなどのSocial Networkingサイトに対するSPAMを行う事で感染を拡大させていきます。 他のサイトの「ビデオ」に対するリンクを張るという形のメッセージがSocial Networkingサイトに投稿されます。

「YuoTube」と記述されたYouTubeっぽいサイトを見ると「視聴には.exeファイルをインストールする必要がある」と言われます。 その.exeファイルを実行すると感染します。

KOOBFACEが巧妙なのは、この実行ファイルがマルウェア本体では無い事です。 最初にインストールされるのはKOOBFACEダウンローダです。 ダウンローダは、クライアントPCの環境に応じて必要最低限のモジュールだけをダウンロードしてPCにインストールをして行きます。 モジュールは以下のように別れているようです。

  • KOOBFACEダウンローダ
  • Social Networkを利用したマルウェア拡散コンポーネント
  • Webサーバコンポーネント
  • 広告クリック+偽アンチウィルスソフトインストーラ
  • CAPTCHA解析
  • 個人情報窃盗
  • Web検索ハイジャック
  • 偽DNSへのすり替え

このように分割されることによって、単体だとマルウェアやウィルスとして検知されにくくなるのだろうと思われます。 また、必要最低限の動きしかしないことで、活動し続けてもバレにくくなるという効果もあるのかも知れません。

KOOBFACEダウンローダは「Adobe Flashコンポーネント」や「ビデオコデック」と詐称されることもあるようです。

KOOBFACEダウンローダ

KOOBFACEダウンローダは、PC内に残されたクッキーを探す事によってユーザが利用しているSocial Networkingサービスを発見します。 KOOBFACEがクッキーを探すのは以下のサイトに関してです(2009年8月6日現在)。

  • Facebook
  • MySpace
  • Hi5
  • Friendster
  • myYearbook
  • Tagged
  • Bebo
  • Netlog
  • fubar
  • Twitter

KOOBFACEは、ネットワーク上に存在するKOOBFACE指令センター(原文だとKOOBFACE Command & Control)に接続し、KOOBFACE指令センターの要求に応じたコンポーネントをダウンロードしてインストールします。

インストールされるモジュールはクッキーに応じて変わるようです。 特定のSocial NetworkingサイトのクッキーがPC内に存在しているということは、ユーザがアカウントを持っている可能性が高くなるので、それらを狙ったコンポーネントがKOOBFACEダウンローダによってダウンロードされるようです。 KOOBFACEダウンローダは、KOOBFACE指令センターにクッキー情報を送信し、KOOBFACE指令センターからの要求に記述されたものをダウンロードします。

Social Network感染拡大コンポーネント

各Social Network感染拡大コンポーネントは、それぞれのSocial Networkingサイトに特化した作りをしたバイナリファイルです。 Social Networkingサイトで感染を拡大させるためのコンポーネントは次のような動作をするようです。

  • KOOBFACE指令センターに接続
  • 投稿するメッセージとURLをKOOBFACE指令センターから取得
  • Social Networkingサイトへの投稿
  • KOOBFACE指令センターからメッセージとURLを取得して、感染しているユーザの友人のソーシャルネットワーク受信箱に送信

Webサーバコンポーネント

Webサーバコンポーネントが起動すると、これまで起動期間に関する情報とともにKOOBFACE指令センターに通知されます。 KOOBFACE指令センターは、自身のプロクシとしてWebサーバコンポーネントが動作してKOOBFACEコンポーネント配布を中継するように要求したり、偽YouTubeサイトになって感染を広げたりするように要求したりします。

広告クリック&偽アンチウィルスソフト

このコンポーネントは、KOOBFACE指令センターと接続して、偽アンチウィルスソフトのインストールを行ったり、偽のウィルス警告情報を表示したりします。 広告をクリックする機能が含まれるブラウザを開いたりもするそうです。

CAPTCHA突破

このコンポーネントは、CAPTCHA突破のために人間を利用します。 解決する必要があるCAPTCHA画像がKOOBFACE指令センターに送信されます。

このCAPTCHA画像はパニック情報が含まれるメッセージとして表示されます。 同時に「シャットダウンまでの時間」というカウントダウンが表示されることによってユーザを焦らせるようです。 ただ、実際にはカウントダウンが終わってもシャットダウンは行われず、ユーザ入力を待ち続けると記述されていました。

このCAPTCHAですが、Social NetworkingサイトでのSPAM活動がヒューリスティック検知に引っかかって、人間かボットかのチャレンジとして表示されるものであることが多いそうです。 CAPTCHA突破に感染したPCを使う人間を利用してしまうのがKOOBFACEの凄いところなのかも知れません。

個人情報窃盗コンポーネント

各種ソフトに関連するID、インターネットプロファイル、製品ID、証明書などを探し出し、まとめたものを暗号化してKOOBFACE指令センターに送信します。

検索ハイジャック

検索ハイジャックコンポーネントは、Google,Yahoo,MSN,Ask,Liveの検索キュエリーをハイジャックし、偽の検索サイトへと誘導します。 偽の検索サイトはKOOBFACEと関連があるサイトだけを表示します。

偽DNSへのすり替え

偽DNSすり替えコンポーネントは、DNSに関するキュエリーを横取りして偽のサイトへと誘導します。 偽のサイトはマルウェアを配布していたり、フィッシングサイトだったりします。

アンチウィルスサイトやセキュリティサイトへのアクセスをブロックしたりもするそうです。

Social Networkingサービスとの「親和性」

例えばTwitterのように外部のURLを人に示す事が多いWeb2.0サイトは、KOOBFACEのようなマルウェアと親和性が高いのかも知れません。 KOOBFACEのような仕組みを持つマルウェアは、人と人との繋がりや信用を横取りすることで拡大を続けられます。

信頼している相手が本当に送っていると思い込んでいると、思わず騙されてしまいそうです。 今後、このような手法のウィルスやワームやマルウェアが増えていくのかも知れません。

余談

余談ですが、昨晩のTwitterダウン中に「Twitterのネットワーク構成を調べてみた」という記事を書いてみました。 Twitterが保持しているIPアドレスや利用しているCDNに関連しそうな公開情報を集めた物です。 もしよろしければご覧下さい。

その他、今までに書いたセキュリティ系記事は「セキュリティ系ブログ記事一覧」をご覧下さい。

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!