VB2011講演(その1)

VB2011のカンファレンスに出席できなかった人のために、講演の内容を簡単に紹介します。

サイバー犯罪のエコシステムと仕組みについて: Dmitry Bestuzhev

地下市場では、本物の身分証明書(本人の写真付き)の複製を簡単に入手できます。本物の生体認証情報が付属しているものさえあります。警察官の本物の証明書でも入手できます。ただし、地下市場にアクセスするには、サイバー犯罪者であることが「認証」される必要があります。

サイバー犯罪者には、地理的な特徴があります。ヨーロッパのサイバー犯罪者は、匿名性を重視し、本人を特定するのは非常に困難です。たとえば、彼らはインスタントメッセージのJabberを好んで使用する傾向にあります。これは、インスタントメッセージが証拠をまったく残さないためです。逆にラテンアメリカのサイバー犯罪者は、身分を明かすことに何の恐れも抱いていません。自分の実績をPRするだけでなく、自分や家族の写真、携帯番号、連絡先までも公開しています。

サイバー犯罪者の多い国は、ブラジル(サイバー犯罪を規制する法律が1940年代には施行されています)とロシア(犯罪者が他国に引き渡されることはありません)です。フランスも不名誉ながら、上位にランクされています。

Dmitryは、署名を手書きすることがサイバー犯罪に対して有効であるが、最終的には意味をなさないであろうと指摘しています。有効な手段は何でしょう。サイバー犯罪者を捕え、刑務所に収監する以外にありません。

同じボットネット、同じ作成者、新しいコード: Pierre-Marc Bureau

昨年のクリスマスシーズンにW32/Kelihosが登場しました。W32/Kelihosは、クリスマスカードを装って拡散し、感染したコンピュータのユーザは不正なWebサイトに誘導され、新しいFlash Playerをダウンロードするように求められました。このマルウェアの初期のバージョンには、大量のデバッグ用情報が残されていました。この情報は、リバースエンジニアリングに非常に役立ちました。また、デバッグ情報に文法上の間違い、綴り間違いなどが多く含まれていたので、作成者は英語を母国語として使用していないと推測されました。以降のバージョンには、デバッグ情報は含まれていませんでした。

マルウェアはスパムエンジンにバンドルされます。株式売買に関するスパムが送信され、株式の不正操作により大金が得られるので記載されている株式を購入するようにと推奨していました。株式売買に関するスパムは実際に機能し、推奨していた株式の価格が上昇しました。

実装の観点では、KelihosはTCPポート80を使用して、秘密性を高めています。また、暗号の奇妙な組み合わせを使用しています。DESとK1、Blowfishと他のキー、そして再びDESとK1です。Nuwar、Waledac、およびKelihosの3つのマルウェアには、コードの一部に明確な違いがあり、新しいコード作成者がプロジェクトに参加したことを暗示しています。ただし、類似点も多く、ほとんど同じ機能が備わっています。3つのマルウェアはすべてFastfluxを使用しています。この技術はよく知られていますが、ボットネットでの使用例は多くありません。

当代の中国DDoSマルウェア事情: Jeff Edwards(講演)、Jose Nazario

中国DDoSとは、C&Cが中国のIP空間で「ホスト」されており、マルウェアが相当なDDoS能力を備えていることを意味します。
このようなマルウェアについては、現在約40のファミリーが確認されています。一部のマルウェアでは暗号がほとんど行われておらず、技術の未熟さを示唆しています。これらのほとんどは、Visual Studioを使用してC++で記述されています。通常、攻撃目標はただ1つだけであり、攻撃は約2時間で終了します。

ボットネットを調査するために、作成者は偽のボットを記述して、それらのマルウェアの活動をログ記録/監視します。DDoS攻撃では、通常、WinSock2ベースのHTTPフラッド手法が使用されます。GET要求が一部の小さなパケットで破壊される低速のHTTP攻撃は、ほとんど使用されていません。

これらのマルウェアのほとんどは、中国のWebサイト(64%)、または米国のWebサイト(27%)を攻撃しています。たとえば、darkshellは、中国の食品加工企業を専門に攻撃しています。また、特徴的な傾向として、コードがDDoSコード作成者間で共有されているように思われます。ロシアの作成者にはこの傾向はありません。彼らには、コードを秘密にしようとする傾向があります。

- the Crypto Girl