RSS Feed  Twitter  
|
Articles - Malware

ボットネットでなにができるのか

クラッカーがボットネットを用いてできることは多岐に渡る。ハイジャックしたコンピュータのほとんどの操作が可能となるため、攻撃から情報の採取、広告などの不正取得、踏み台といったあらゆる悪用が可能になる。ボットを利用する目的の代表的なものは以下のような行為である。

DDoSアタック

DDoS(Distributed Denial of Service attacks)アタックについては説明するまでもないだろう。サービスに大きな負荷をかけ、ダウンさせたり、そのサービスへ繋がりにくくするなどして利用を妨害する行為だ。ボットネットを利用する大きな目的の一つである。
ボットのコマンドには、当然のようにDDoSモードが用意されており、簡単にアタックを開始することができる。

情報採取(キーロガー、スニッフィング、ファイルの取得)

ハイジャック(ボットに感染)したコンピュータ上の情報の入手も様々な角度から行える。最も基本的なものが、キーロガーだ。リアルタイムでIRCチャットへログを出力させることや、ターゲットのコンピュータにキーログを保管して、後からファイルとして採取するといったことができる。
また、ボットによってはスニッファ機能も備わっているため、同様にしてパケットの盗聴も可能だ(ただし、動作不安定なものもある)。更に、DCCを使ったファイルの取得やHTTPサーバ機能を利用して、Cドライブ自体をマウントすれば、ブラウザ越しにハードディスク上の全てのファイルの閲覧やダウンロードもできる。

Socksプロキシ(スパム、フィッシング)

Socksプロキシサーバもコマンド一発で起動する。このため、身元を特定されぬよう、スパムメール、フィッシングメールの発信に利用することができる。また、メールアドレスの収集を行うことが可能なharvestコマンドが用意されているボットもある。

広告、投票

Googleの広告など、クリックに応じて支払いが行われるネット広告もボットの餌食となる。数万台のボットから一斉にクリックを誘発することができるため、短時間にして多くのクリックを行うことが可能だからだ。
これは、実際に悪用したクラッカーが逮捕された例(海外)もある。また、すべて異なるアドレスからアクセスさせることができるため、同様にしてネット投票などを偽装や妨害することもできる。

システム情報の採取、改変

ハイジャックしたコンピュータの基本的なシステム情報(CPUやRAM、OS情報)から、ネットワーク情報、ファイルの操作やプロセスの操作(KILL)なども行える。
また、ほとんどのボットはアップデート機能を有しており、新たなボットへのすり替えや、新たなマルウェアをインストールすることも難しくない。また、ボットのインストール時に、ローカルネットワークのスキャンやアンチウイルスソフトのアップデートの無効化(Hostsファイルの書き換え)、アンチウイルスのKILL、そしてセキュリティアップデート(ファイル共有やDCOM無効化など)を行うボットもある。



ボットネットの概要 2を読む

 


|