dooo

得意分野よりも、勉強中の内容を書きたい

ボット

ボットとは

ボット(bot)とは、コンピュータを外部から遠隔操作を行う不正プログラムである。 ロボット(Robot)のように、対象コンピュータを意のままに操ることができることが名前の由来。有名なものにSdbotやGaobot(Agobot)がある。

ボットにおける最大の特徴はボットネットワークを構成することである。 ボットネットワークとは、ボット感染に感染した複数のコンピュータを攻撃者が一括して遠隔操作できる仕組のこと。構成するPCの数は数百~数千・数万に及ぶこともある。

用語

C&C(command and control server)サーバ

ボットネットワークに対して指令(command)を出し、制御(control)するサーバー。通信の手段としてIRCが用いられることが多い。

IRC(Internet Relay Chat)

サーバを介して会話(チャット)をする枠組みの名称である。 TCPプロトコルとして主に用いる。

ハーダー

ボットを操る攻撃者のこと。

ゾンビPC

ボットに感染したパソコンのこと。

攻撃の内容

特徴・問題点

  • 遠隔操作が可能なので、ファイル操作やプロセス操作、ほかのサーバへの攻撃などさまざまなことができる。

  • 感染したコンピュータを不正なメールの送信やDDoS攻撃に利用するので、被害者が加害者にもなりうる。

  • また、C&Cサーバとの通信の中で、自身のアップデートを行い、ウイルス対策ソフトウェアによる検出を免れたり、攻撃に必要な機能を追加することができる。

  • 命令の実行まで待機して、すぐに被害を出さないことも多く、感染に気が付きにくい。

  • 自己隠蔽のためにHostsファイルの改ざんを試みることが多い。

  • 他のマルウェアでもいえることだが、より多くの亜種を作るためのソースコードが公開されている。(ex:Sdbot、Gaobot)

感染経路

  1. ウイルスメールの添付ファイルの実行による感染
  2. 不正な(ウイルスの埋め込まれた)Webページの参照による感染
  3. スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導かれて感染
  4. コンピュータの 脆弱性*1 を突く、ネットワークを通じた不正アクセスによる感染
  5. 他のウイルスに感染した際に設定される バックドアを通じてネットワークから感染
  6. ファイル交換(PtoP)ソフトの利用による感染
  7. IM(インスタントメッセンジャ)サービスの利用による感染

対策

ユーザー

  • コンピュータのOSやアプリケーションを最新状態にしておく。
  • ウイルス対策ソフトを最新の状態に保つ。
  • Hostsファイルの改ざんを確認する

管理者

  • 外部不正サイトへのアクセスをブロックする。
  • ネットワーク内の不審な通信や挙動を可視化する。

Webサイトなどの運営者

  • 侵入されてWebページなどがボットの感染用に改ざん(ウイルスの埋め込みなど)されないよう、対策をする。
  • ホストのOSやアプリケーションを最新状態にしておく。
  • 異常が見つかったら、即座にWebを閉鎖するなど被害拡大防止の措置をとる。