FlamerのC&Cサーバーがアンインストールコマンドを送信していた 29
ストーリー by headless
自動的に消滅する 部門より
自動的に消滅する 部門より
マルウェア「Flamer (Flame)」のC&Cサーバーが、感染したコンピューターにFlamerをアンインストールするコマンドを送信していたそうだ(Symantec Connect Communityのブログ記事、
BBC Newsの記事、
本家/.)。
この動きはシマンテックのハニーポットが検出したもので、C&Cサーバーは「browse32.ocx」という名前のファイルを感染したコンピューターに送信。このモジュールが感染したコンピューターからFlamerをアンインストールし、関連するファイルをすべて削除する。最後にディスクの空き領域をランダムデータで上書きしてFlamerの痕跡をすべて消去するという。これまでの分析でFlamerにはbrowse32.ocxと同様の機能を持つ「SUICIDE」というモジュールが含まれることが明らかになっているが、新たなモジュールを使用した理由は不明とのことだ。
この動きはシマンテックのハニーポットが検出したもので、C&Cサーバーは「browse32.ocx」という名前のファイルを感染したコンピューターに送信。このモジュールが感染したコンピューターからFlamerをアンインストールし、関連するファイルをすべて削除する。最後にディスクの空き領域をランダムデータで上書きしてFlamerの痕跡をすべて消去するという。これまでの分析でFlamerにはbrowse32.ocxと同様の機能を持つ「SUICIDE」というモジュールが含まれることが明らかになっているが、新たなモジュールを使用した理由は不明とのことだ。
くっ封印していた厨二病が・・・ (スコア:5, おもしろおかしい)
素直に考えて (スコア:3, 興味深い)
感染→個人情報ゲット的な何かを実行→痕跡消去
ってのをやっただけなんじゃないのって思ったんですが、
このFlamerってそういう何かをするマルウェアなんですかね
フェルプス君 (スコア:0)
「これでみんなもスパイ気分になれるね」
C&Cサーバーって何? (スコア:0)
Computers & Communications ?
Re:C&Cサーバーって何? (スコア:4, 参考になる)
マジレスするとCommand & Control
http://en.wikipedia.org/wiki/Botnet [wikipedia.org]
>This server is known as the command-and-control server ("C&C").
Re: (スコア:0)
> マルウェア「Flamer (Flame)」のC&Cサーバーが、感染したコンピューター
> にFlamerをアンインストールするコマンドを送信していたそうだ
このサーバーが全クライアントを把握してることはないと思うのですが、
サーバー側からコマンドを送信(Push)することは可能なんでしょうか?
Re:C&Cサーバーって何? (スコア:4, 参考になる)
仕組みは簡単で、クライアント側から C&C サーバに接続して、コマンドが送られてくるのを待つんです。世界各国に散らばったエージェントが、ボスのところへ電話をかけて、命令を待つ、みたいな。
一般的に感染しているコンピュータに、インターネット側から接続をする事は容易ではないですが、感染したコンピュータから、あらかじめ指定されたインターネット側のサーバに接続するのは簡単です。それも、HTTPS の 443 番ポートあたりを利用すると、間に Proxy があっても、CONNECT メソッドでつながってしまえば、任意の通信が可能になります。つながってしまえば、
クライアント:「ボス、着きました。」
サーバ:「やれ」
見たいな感じで、サーバ側からクライアント側のプログラムに指示を出す事ができます。
Re: (スコア:0)
Re:C&Cサーバーって何? (スコア:3, 参考になる)
送信-受信というデータの流れと、Push/Pullという通信モデルは、独立した話なんだから、元コメの「送信(Push)する」という言葉自体が変なの。
勝手にPushって言葉を持ち出して「それはPushじゃないでしょ」と言うのがおかしい。
Pushモデルは、データの送信側(サーバ側)が受信側に接続するもの。ネットワーク的に負荷(無駄)が少なく、また送信すべきデータが発生してからデータ送信までのタイムラグが少ないのがメリットだが、サーバ側の管理負荷が大きいのがデメリット。
Pullモデルは、データの受信側が適宜送信側に問い合わせるもの。送信すべきデータが無いのにアクセスする場合があるのでネットワーク負荷が重いし、送信すべきデータが発生しても問い合わせが来るまでは送信されないのでそれなりなタイムラグが発生するのがデメリット。その代わり、サーバ側の管理負荷は軽い。
Pullモデルで実装されたクライアント(感染したbot)からの問い合わせに対し、C&Cサーバはコマンドを送信している、という処理の流れであって、「サーバ側からコマンドを送信している」ということには何の間違いもない。
Re: (スコア:0)
そもそも元のブログ(英語版)は「shipping a file」 ってなってますからね…。
勝手にpushに再翻訳してそれは違うと騒ぐとか滑稽の極み。
Re: (スコア:0)
W32.Flamer Technical Details | Symantec [symantec.com]
W32.Flamer は感染コンピュータの情報を収集し C&C サーバー(攻撃者)側に返
モデレータは基本役立たずなの気にしてないよ
Re:C&Cサーバーって何? (スコア:2)
Command & Conquer
ではないな...
M-FalconSky (暑いか寒い)
Re: (スコア:0)
>Command & Conquer
やべぇ久々にRenegadeしたくなった
#Black-cell.netからメールきてたし
Re: (スコア:0)
ふむ。何年ぶりかでRenegade聞いてみようか。
忘れられた天才の一人、Tommyちゃん。
Ohh, Mama im in fear 4 my life from the loong aarm of the law ...
Re:C&Cサーバーって何? (スコア:1)
Click & Create [impress.co.jp]
ではないですね。
Re: (スコア:0, オフトピック)
カレーショップ。
東京の人にしかわからないネタかな?
Re: (スコア:0)
たしか,長野と鹿児島にもあったような.....
なぜ鹿児島? (スコア:0)
神奈川 [curry-cc.jp]でしょ。
モデレータは基本役立たずなの気にしてないよ
Re:なぜ鹿児島? (スコア:2)
このページを見てしまってカレーが食べたくなったので晩ごはんはカレーに変更します。
#最近ココイチ [ichibanya.co.jp]くらいしか外では食べてないなあ
Re: (スコア:0)
見た瞬間真っ先にこれを想像しました。
オラなんだかわくわくしてきたぞ (スコア:0)
>最後にディスクの空き領域をランダムデータで上書きしてFlamerの痕跡をすべて消去するという。
Re: (スコア:0)
空き領域にランダムデータ書き込んでもディレクトリエントリが残るんじゃないのかな
Re: (スコア:0)
NTFSならジャーナルも残ってるよね。自分のを追い出すためにたくさん書き込むのかな?
Re: (スコア:0)
なのでダミーのファイル名にリネームした後削除するコードを書いたことがあります。
自分を消す方法 (スコア:0)
Windowsではロード中のバイナリはがっちりロックされるので「自殺」は簡単ではないと思うのですけれども、このFlamerさんはどうやったんでしょうかね。
Re:自分を消す方法 (スコア:5, おもしろおかしい)
そうだ!あの親切なイルカさんに教えてもらお・・・あー、もうアイツはいないんだっけか・・・
Re: (スコア:0)
こういうことがあるから、イルカ漁に反対する人たちが出てくるわけですね。
Re: (スコア:0)
スクリプトエンジンにお願いするとか? そのての知識は皆無ですが。
--- SUISIDE.vbs ---
Set fso = CreateObject("Scripting.FileSystemObject")
fso.DeleteFile "SUICIDE.vbs"
-------------------
Re: (スコア:0)
昔から、バッチファイルで削除する(バッチファイル自身も含め)、という手が使われますね。