前回の記事では、WaldacボットネットのP2Pネットワークを遮断する対策を説明した。だが、P2Pネットワークを遮断しても、WaledacにはDNSを使ったフォールバックシステムがある。このため、DNSへの対処も並行して実行しないと根絶することはできない。

DNSを使ったWaledacのフォールバック

 P2Pネットワークに共通する問題として、接続するノードが見つからない場合に、そのノードがネットワークから孤立してしまう事態が発生することがある。Waledacでは、アクティブ・ノードリスト中に有効なノードが見つからない場合は、あらかじめ組み込まれたアドレス(ホスト名)を参照することで、この問題を回避する(図10))。

図10●P2Pネットワークが機能しない際にWaledacはDNSを参照してリカバリーする
[画像のクリックで拡大表示]

 つまり、スパマー・ノードで保持しているアクティブ・ノードリストすべてと接続ができない場合、スパマー・ノードはあらかじめ登録されたホスト名(bestchristmascard.comやholidayxmas.comなどの277のドメイン)のIPアドレスを、Fast Flux DNSサーバーから参照する。

 この結果として得られるIPアドレスは、一定期間オンラインであることが確認されているリピーター・ノードで、スパマー・ノードはこのIPアドレスをリピーター・ノードとして接続する。一度の参照で接続できない場合でも、Fast Flux DNSは応答するリピーター・ノードのアドレスを頻繁に更新するため、繰り返して問い合わせを実行することで、いずれは接続が可能なリピーター・ノードを見つけられる。

 中間コントローラーとメインC&Cサーバーは、感染したPCではなく、ハーダーにより設置されたサーバーで構成されている。これらのサーバーは固定的であることから、リピーター・ノードを経由したアクセスのみを受け付けるなど、意図しないアクセスを極力排除する仕組みになっている(図11) 。

図11●上位層へはリピーターノードがプロキシとして動作する
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら