Botconf は、世界で最も成功し、最も古く、最も大規模なボットネットの 1 つですが、過小評価され、ほとんど知られていない脅威であり、時間の経過とともに 1,500 万台のマシンが感染し、数百万ドルの銀行口座が略奪されました。
Fox ITの研究者8人からなるチームの調査結果によると、「Ponmocup」ボットネットは2011年のピーク時に240万台の感染を制御し、現在では約50万台のマシンを支配しているという。
筆頭著者の Maarten van Dantzig 氏は、今週の BotConf カンファレンスで論文「Ponmocup: 影に隠れた巨人[PDF]」を発表した。
この報告書の中で、彼と研究者のダニー・ヘッペナー、フランク・ルイス、ヨナタン・クリンスマ、ユン・ジェン・フー、エリック・デ・ヨング、クリンスマ・デ・ミック、レナート・ハーグスマは、2006年に初めて説明されたこのマルウェアがステルス性に重点を置いており、おそらくロシア人の作成者に何百万ドルもの金をもたらしたと述べている。
「他のボットネットと比較すると、Ponmocup は現在活動中のボットネットの中で最大規模であり、9 年間連続で稼働している最も長い期間のボットネットの 1 つでもあります。しかし、運営者がレーダーに気付かれないように細心の注意を払っているため、ほとんど注目されていません」と van Dantzig 氏は言います。
「Ponmocupボットネットで稼いだ金額を正確に数値化することは難しいが、すでに何年も前から数百万ドル規模のビジネスになっている可能性が高い。
「まず、彼らのインフラストラクチャは複雑で分散されており、大規模で、専用タスク用のサーバーを備えています。」
ヴァン・ダンツィグ氏は、攻撃者は、品質テスト済みで、堅牢性とステルス性を向上させるために更新され、リスクを迅速に軽減できる包括的なインフラストラクチャを維持していると述べています。
彼らは Windows に深く精通しており、約 10 年間のマルウェア開発経験を持つ、技術的に高度なチームであると彼は言います。
これまでのところ、チームは約 25 個のユニークなプラグインと、継続的な開発を示唆する 4,000 個ものバリアントを発見しました。
このマルウェアには、ネットワークやホストベースの分析ツール、デバッガー、仮想環境に対するヒューリスティックチェックといった分析回避策が組み込まれている。また、アナリストを混乱させるために巧妙な偽のペイロードを投下すると研究チームは述べている。
ペイロードの 1 つは、実行中のプロセスに明らかな実行可能ファイルを挿入します。これは、悪質なソフトウェア バンドラーでよく見られる迷惑な広告インジェクターとして機能します。®
