W32.Xpaj.B は、シマンテックがこれまでに確認した中でもきわめて複雑で高度なファイルインフェクタの 1 つです。以前のブログ記事で、Piotr Krysiuk 氏はこれを「Upper Crust File Infector(ハイクラスのファイルインフェクタ)」と呼んでいます。この記事では、感染したサンプルの検出を困難にするために W32.Xpaj.B がとる数種類のアプローチが説明されていますが、自身を実行可能ファイルの内部に隠すために使われるテクニックは、平均的な水準をはるかに超えています。それほどの巧妙さゆえに、この脅威を詳しく解析することにしました。 解析から、コマンド & コントロール(C&C)サーバーの IP アドレスが判明しました。W32.Xpaj.B に感染した実行可能ファイルは、これらの C&C サーバーにダウンロード要求を送信します。脅威のバックエンド制御インフラを解析した結果、感染したクライアントに対してサーバーから送信されるのは、データだけではないことがわかりました。サーバーには、暗号化されたバイナリデータ、暗号化キー、データベース、Web アプリケーションが格納されていました。これらは、いくつかの国でホストされている複数のコンピュータに広がる詐欺活動を構成する要素であることが明らかになっています。 このバイナリデータをリバースエンジニアリングし、あわせて Web アプリケーションも解析したところ、実に複雑なクリック詐欺の手法の全容が解明されました。この詐欺の実装方法についての詳細は、関連するテクニカルペーパーの『W32.Xpaj.B: Making Easy Money From Complex Code』(PDF)で解説しますが、ここではその概略を示すとともに、この脅威がいかに広く拡散し、どのくらいの利益があったかを詳しく紹介することにします。
W32.Xpaj.B は、1 段目のダウンローダとして使われます。W32.Xpaj.B は、コンピュータにアクセスしたうえで、そのコンピュータと共有ドライブを通じて、ファイルに感染しつつ拡散します。次に、前述したように、暗号化されたバイナリデータをダウンロードします。 図 1: Xpaj クライアントによる最初のダウンロード このバイナリデータが実行されると、脅威はユーザーによる検索とクリックをすべて傍受するためにインターネットトラフィックの監視を続けます。傍受されたデータは C&C サーバーに送信され、実際には広告である Web アドレスが返されます。ユーザーがその意図せず広告にリダイレクトされると、そのクリック分の報酬が広告主から詐欺師に支払われます。 実際のプロセスはこの簡略な説明よりもっと入り組んでおり、それを示したのが図 2 の各ステップに付けた数字です。(テクニカルホワイトペーパーでは、このプロセスを段階ごとに分解して詳しく説明しています。) 図 2: 脅威のプロセス。(詳しくはホワイトペーパーを参照。)
サーバーで実行されているいくつかの自動スクリプトと、暗号化キーの名前を調べてみると、複数の国にまたがるインフラの全容が見えてきました。関連する一部のサーバーが第 1 レベルの C&C サーバーとして機能していました。前述したように、C&C サーバーはクリックと検索を受け取り、すべてのクリックの記録をログファイルに格納します。このログは 12 時間ごとに中央のサーバーにコピーされます。中央サーバーでログファイルが処理され、検索数とクリック数、クリックごとに得られた金額を抽出したデータがデータベースに格納されます。このデータベースが、いわば詐欺活動を支える「経理担当」になっているわけです。このデータベースの資格情報は特定の Web アプリケーションの設定データとして格納されていたので、データベースへのアクセスは容易でした。この手口の完全な統計も調べることができました。 図 3: 脅威のインフラ
クリック詐欺の手法で稼ぎ出される金額は、感染したクライアントの数と、そのクライアントで実行される検索とクリックの数によって決まります。感染したクライアントの件数はデータベースに記録されていませんが、データベースサーバーには C&C サーバーからアップロードされたログファイルが残っていました。それらのログファイルを解析すると、1 日当たりのユニーク接続数の記録がわかります。記録されていたデータは、2010 年 9 月 27 日から 2011 年 6 月 27 日まで続いていました。 図 4: 1 日当たりのユニーク接続数
感染したコンピュータの数は、ボットネットのサイズからすれば妥当なところです(図 4)。1 日当たりの接続数はピーク時には約 25,000 で、時間の経過とともに次第に減少し、平均では 1 日当たり 11,100 です。 図 5: クリック数と検索数の時系列変化 1 日当たり平均 11,100 というこの接続の結果、1 日当たり平均 241,000 回の検索が実行されています(図 5)。これは相当のトラフィック量であり、分散ネットワークのトポロジーが必要になるのもうなずけます。これを 365 倍すると、ボットネットは 1 年間でおよそ 8,700 万回の検索を傍受していることになります。実際の利益はデータベースから取得でき、図 6 に示すとおりです。 図 6: 利益(米ドル)の時系列変化 該当する期間にこの詐欺の実行者(1 人とは限りません)が得た利益の総額は、およそ 46,000 ドルにも上ります。1 日当たりでの利益は、最大で 450 米ドル、平均すると 170 米ドルでした。1 日平均 170 ドルとすれば、可能性としては 1 年で 62,000 ドルを稼ぎ出せることになります(しかも税金も納めません)。 サーバーの 1 つに IRC の接続ログがいくつか残っていたおかげで、この詐欺の実行犯の身元も、確実とは言えないながら推測できます。その詳細については、関連の W32.Xpaj.B ホワイトペーパーをダウンロードして参照してください。シマンテックは、関連するホスティングプロバイダや他のセキュリティベンダーと協力して、この悪質なインフラを停止させるべく取り組んでいるところです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。