マイキー・キャンベル
· 2分で読めます
Dr. Web は、これまでで最大の Mac ボットネットに関する独自の分析データを引用し、約 65 万台のコンピューターが依然として影響を受けていると指摘しているが、これはセキュリティ業界の有名企業であるシマンテック社とカスペルスキー社が示した 3 万台という数字とはまったく矛盾している。
ロシア企業のアナリストらがこの食い違いを調査し、大企業のサーバーから送られてくる生のデータは、Flashback が複雑なドメイン名作成技術と、ボットをコマンド アンド コントロール サーバーから効果的に隠蔽する独自の TCP 接続操作を使用しているために不正確である可能性が高いことを発見した。
BackDoor.Flashback.39は、高度なルーチンを使用して制御サーバー名を生成します。ドメイン名の大部分はマルウェアリソースに埋め込まれたパラメータを使用して生成され、その他の部分は現在の日付を使用して生成されます。トロイの木馬は、事前に定義された優先順位に従って、サーバーに連続してクエリを送信します。
4月初旬にマルウェアが初めて発見された際、Dr. WebはFlashbackコマンドサーバーとして使用されている主要ドメインを登録していましたが、他のセキュリティ企業は「ハイジャックされたサーバー」を使用している可能性が高いため、この場合、信頼性は低くなります。レポートでは、Flashbackの動作モードにより、ボットネットワークはハイジャックされたサーバーにほとんど気付かれずに動作し、今週報告された感染マシン数が14万台から3万台に急激に減少した原因である可能性があると説明しています。
出典: Dr.Web
4月16日には、現在の日付に基づいて名前が生成された追加のドメイン名が登録されました。これらのドメイン名はBackDoor.Flashback.39のすべての亜種で使用されているため、追加の制御サーバー名が登録されたことで、グラフに示されている悪意のあるネットワーク上のボットの数をより正確に計算できるようになりました。
Dr. Webによると、このトロイの木馬は身元不明の第三者が運営するサーバーにリクエストを送信し、そのサーバーはボットと通信しますが、TCP接続を閉じることができません。この動作はボットをスタンバイモードにするため、情報セキュリティ専門家が監視する他のコマンドサーバーとの通信ができなくなるため、研究者にとって非常に重要です。
コマンドサーバーへのTCP接続が開かれるとボットがフリーズする仕組みを示すコード。| 出典: Dr. Web
Symantec 社や Kaspersky Lab 社からの回答はなく、それぞれの Web サイトでは Flashback トロイの木馬の脅威レベルが依然として「非常に低い」と表示されています。
このマルウェアの最初のバージョンは2011年にAdobeインストーラーを装って登場し、その後、現在の自己インストール型バージョンへと進化し、世界中で60万台のMacで確認されました。インストール後、FlashbackはユーザーID、パスワード、ウェブ閲覧履歴などの機密データを収集し、オフサイトサーバーに送信します。
Apple は過去 2 週間にわたり、特別に設計された Flashback 削除ツールを含む多数のソフトウェア アップデートをリリースして、このマルウェアに対応してきました。
