マカフィー株式会社 公式ブログ

McAfee Labs] 2011年1月11日 更新

携帯電話ネットワークを所有するモバイルボット

 

McAfee Labsでは、モバイルボットネットに関する研究を行っています。セキュリティ研究者のコリン・ミュリナー(Collin Mulliner)とジャン・ピエール・ザイフェルト(Jean Pierre Seifert)は、堅牢なコンセプト証明のiPhoneボットネットを作り上げました。具体的には、携帯電話会社のネットワークでボットネットのコマンドアンドコントロールを確立する、様々な方法を検証しました。

研究は、ボットネットがラボから逃げ出すことが無いよう、拡散機能を実装せず、分散コンピューティングネットワークを維持する最善の通信方法がSMS、http、P2Pのうちのどれなのかを確認することに専念して行われました。また、一般的なPCセキュリティの研究とは異なり、EDGE、3G、Wi-Fiなどといった、ネットワーク接続が途切れる場合がある、性能の低い、CPU/RAMが限定されたデバイスに対応した、ボットネットの開発の課題について検証は実施されました。

テキストメッセージを使用してコマンドをボットに送信するSMSの手法は、他のモバイル対応のスパイウェアやボットネットで一般的に使われています。また、より高度なマルウェアは、ユーザーに感染を気づかせないよう、コマンドSMSメッセージを傍受、削除します。今回の実証研究では、他のモバイル対応のマルウェアのように、単純なテキストベースのSMSメッセージを使用する代わりに、バイナリモードのSMSを使用しました。これらは、受信箱に痕跡を残さないシステムSMSメッセージや「フラッシュ」SMSメッセージではなく、単なる約140バイトのSMSメッセージです。バイナリで送信することで、より少ないスペースでコマンドをコード化し、コマンドアンドコントロールメッセージを検出されにくくすることができます。同時に、SMSに加えて、P2Pとhttpの2つのプロトコルを組み合わせることで、ボットネットの堅牢性を高められることが判明しました。

一般的に、マルウェアの作者はセキュアな開発、ソフトウェアのテストプロセスに従っていません。今回の研究では、ファジング用のSMSハンドラーが使用されており、実際にボットネットのSMSコマンド処理コードをファジングしました。電話会社のネットワークを乗っ取る準備を整えてしまえば、不正な形式のコマンドSMSを受け取ることになるため、ボットネットが不成功に終わることはないと推測されます。

バイナリSMSメッセージが使用されているため、ボットネットのコマンドはテキスト形式のプロトコルほど簡単には解読されません。以下の表には、コマンドSMSの概要が示されています。ミュリナーとザイフェルトは、リプレイ攻撃(最後のコマンドよりも数字の大きいシーケンス番号を持つパケットだけに応答)やコマンドエミュレーションによる乗っ取り(コマンドメッセージの暗号化とデジタル署名)を防ぐため、慎重に通信プロトコルを設計しました。

シグネチャーの長さ ECDSAシグネチャ シーケンス番号 コマンドタイプ コマンド
1 <変数> 4 1 <変数>

図1 - バイナリコマンドSMSメッセージはいくつかの部分に分解されます。各コマンドSMSは、ボットネットの乗っ取りを防ぐため、デジタル署名されています。シーケンス番号により、リプレイ攻撃を防ぎます。また検出を防ぐため、すべてのパケットを任意で暗号化することもできます。

以下は、今回の実証研究で実装したコマンドの概要です。

コマンド 機能
Add phone number(s) 電話番号を転送リストに追加します。コマンドがリストに掲載されているすべてのボットに転送されます。
Set sleep interval P2Pネットワークでコマンドを検索するまでのクライアントの待ち時間を設定します。
Execute shell sequence コマンドをシェルで実行します(ls、pingなど)
Download URL ボットマスターからコマンドファイルをダウンロードします。

図2 - 人間が読める、ボットネットで使われるバイナリコマンドのリスト。コマンドを実行して、WebサイトにDDoS攻撃を仕掛けることができます。

安定した耐障害性のあるモバイルボットネットでの試験を見ると、このような脅威から身を守るにはどうすればよいか知りたいと思うことでしょう。確実にいえることは、携帯通信事業者は、SMSベースのボットネットの監視・対応を検討すべき、ということです。SMSベースのボットネットの監視・対応を施すことは、ネットワーク上の脅威に対して非常に有効な対策であり、個人レベルでは、複数の方法で攻撃者を防ぐことが可能になりなります。同時に、スマートフォンの最新の正式なOS/ファームウェアの修正プログラムをインストールすると同時に、海賊版のソフトウェア、信頼できないソースからのソフトウェアをインストールしないようにすることも重要です。

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/japan/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.