RSS Feed  Twitter  
|
Articles - Malware

TRiAD ハイブリッド・ボットネットシステム

ボットといえば、古くは、Security Articlesの「ボットネットの概要」に記載しているように、感染したボットへを指令をIRCチャンネルから行うものが大半を占めていたが、ここ数年で、RATのように各ボットへ指令を出すためのクライアント+ボット作成ビルダーを有するものや、Zeus Botnetsのように、Webサーバーにボットのコントロールインターフェイスを置き、ボットをログインさせることで指令を出すものなど、IRCチャンネルを介さないものが増加している。

triad TRiAD ハイブリッド・ボットネットシステムは、オープンソースで開発されており、Webサーバーにコントロールインターフェイスを置きボットを操作できるタイプだ。感染させるボットは、WindowsとLinuxの二つが作成、操作できるため、ハイブリッド型となる。

Windows向けのボットは、リバースシェル、DoS、プロキシサーバを、Linux向けは、DoS、HTTPサーバ、バインドシェルというように、それぞれ3つのメイン機能を有しており、この他、共通の操作項目として、感染パソコンからのボットの削除、感染パソコンのシステムシャットダウン、リブートなどが行える。

それぞれのボットは設定を手動で編集した上でコンパイルして生成する。
実際に生成したWindows向けのボットを感染させた例を示す。Webコントロール画面で各ボットの状況を確認する(ここでは例として1ボットしかログインさせていない)。図は、コマンドを送信してプロキシサーバを起動させている。

triad1

ボットは指定したWebサーバへログインしてくるため、ブラウザで状況が確認できる。コマンドは、全てのボットやWindows/Linuxそれぞれ、そして指定したIPアドレスに向けてという指定が可能で、プルダウンメニューから選択して送信すればよいだけだ。コマンドはプルダウンメニューから選択して送信する。
下図は、順番に、Windowsボットへのコマンド→Linuxボットへのコマンド、コマンドメイン画面。

tirad2
tirad2-2
tirad2-3

それぞれのボットは設定を手動で編集した上でコンパイルして生成する。ツールの構成は、Windows向け、Linux向けのボット生成、そしてWebスクリプトの3つとなっている。テストした限りでは、ボット感染→ログイン、コマンド操作など基本的な動作は問題無く行えるようだが、コマンド送信時時に感染パソコンでエラーが出る場合があるなど、若干不安定要素もあった。今後、Linuxのボットでもテストを行い、再度記事にしたいと考えている。

※2009年11月にハッカージャパン誌に寄稿した記事に若干の加筆修正したものです。


|