攻撃の背景
TSPY_ZBOTは、業界が “ZeuS botnet” と呼ぶものに関するマルウェアとしてトレンドマイクロが検出したものです。 ZeuSボットネットとは、実際には、ボットネット関連の操作にZeuS/ZBOTトロイの木馬を使用する感染したコンピュータのネットワークを短縮した用語です。 TSPY_ZBOTの亜種は、通常、正当なソースから来たように見えるスパムを介して届き、受信者にリンクをクリックするよう求めます。 このリンクは、TSPY_ZBOTのダウンロードにつながり、システム内に静かに配置され、ユーザーが特定のサイトに認証情報をキー入力するのを待ちます。 ZBOTの検出数は、以下のブログ エントリに見られるように、年々大幅に増加しています。
- Keeping an eye on the EYEBOT and a Possible Bot War
- ZBOT Variant Spoofs the NIC to Spam Other Government Agencies
- 新しいZBOT/ZeuS Binary comes with a Hidden Message
- フィッシャーはAOL IMユーザーをターゲット
- セキュリティ強化を装ったフィッシング
- ZBOT Targets Facebook Again
- 別のZBOT Spam Run
- Bogus “Balance Checker” Tool carries Malware
- あなたは(Facebookの)フィッシングを受けていませんか?
Phishers Target AOL IM UserSASFIS Fizzles in the Background
その他のZBOT/ZeuS関連エントリはこちら
Trend Microでは、現在までに2,000以上のZBOTが検出されており、その数は増加し続けています。
ZeuS、ZBOT、および Kneber の違いは何ですか。
これらの名前はすべて ZeuS ボットネットに関連しており、これは、確立した犯罪ソフトウェア ボットネットで、野生の他の既知のボットネットに責任があると言われています。 ZeuSトロイの木馬の最も初期の顕著な使用例は、使いやすいフィッシング・ページ・キットで知られる悪名高いRock Phish Gangを経由したものです。 ZBOT」という用語は、この巨大なボットネットに関与するすべてのマルウェアに対するトレンドマイクロの検出名です。 一方、Kneber ボットネットは、特定の ZBOT/ZeuS 侵害に関連する最近の造語です。
この脅威はどのようにしてユーザーのシステムに侵入するのでしょうか。
スパム メッセージとして届いたり、危険な Web サイトから無意識にダウンロードされたりする可能性があります。 ZBOT の検出の大部分は、銀行関連の Web サイトを標的としていることが判明しています。 しかし、最近のスパムでは、ターゲットがますます多様化しています。 注目すべき ZBOT の亜種のリストには、政府機関へのスパムに使用された TROJ_ZBOT.SVR、AIM ユーザーを標的とした TSPY_ZBOT.JF、ソーシャルネットワーキングサイト Facebook を標的とした TSPY_ZBOT.CCB が含まれています。
どのようにユーザーを騙してリンクをクリックさせるのか
スパムメッセージは通常、正当な企業や最近では政府機関からのものと称しています。 ZBOT の亜種は、同様に、マイケル ジャクソンの死などの人気イベントに便乗したスパムでも発見されています。
ZeuS ボットネットの主目的は何ですか。
この脅威は、どのようにして犯人を儲けさせるのでしょうか?
銀行関連の Web サイトまたは金融機関のリストを生成し、そこからユーザー名やパスワードなどの機密のオンライン銀行情報を盗み出そうとするのです。 そして、ブラウザのウィンドウタイトルやアドレスバーのURLを攻撃のトリガーとして、ユーザーのWebブラウジング活動(HTTPとHTTPSの両方)を監視します。 このルーチンは、ユーザーのアカウント情報を暴露する危険性があり、盗まれたデータを不正に使用される可能性があります。
ZBOT に感染したシステムで、標的となるサイトのいずれかにログインするユーザーは、サイバー犯罪者に個人情報を奪われる危険性があります。
マルウェアは収集した情報をどのように扱うのでしょうか。 そして、サイバー犯罪者は、この情報を悪意のある活動に使用することができます。 この脅威が持続する理由は何でしょうか。
ソーシャル エンジニアリングの手法と進化し続けるスパム技術に加えて、ZBOT はルートキットの機能により、検出を困難にしています。 ZBOT は、感染したシステムに自分自身をインストールすると、ユーザーがそのコンポーネントを発見して削除するのを防ぐために、システムおよび隠し属性に設定されたフォルダを作成します。 さらに、ZBOTは、Windowsファイアウォールを無効にし、プロセス内に自身を注入してメモリに常駐させることができます。 また、特定の既知のファイアウォールプロセスがシステム上で見つかると、自身を終了させる。 ZBOT の亜種は、WALEDAC や FAKEAV などの他のマルウェア ファミリを含むデイジー チェーン ダウンロードにも登場します。
ZeuS botnet による脅威から自分のコンピューターを守るにはどうしたらよいでしょうか?
ユーザーが電子メール メッセージを開いたり URL をクリックする際には十分注意していただくことが大切です。 ZBOT マルウェアの加害者は、ユーザーを攻撃する新しい方法を常に見つけているので、ユーザーは、安全なコンピューティング手法を採用することをお勧めします。
正規のウェブサイトを装ったフィッシング ページは、主に、無意識のうちに個人情報を渡してしまうようなユーザーの注意を引くために作られているので、注意が必要です。
TSPY_ZBOT の亜種は、現在、ほとんどのトレンドマイクロ製品に搭載されている機能である Trend Micro GeneriClean でサポートされています。
Trend Micro Smart Protection Networkがサポートするソリューションは、このボットネットが使用するスパムをブロックし、メール評価サービスを通じてユーザーに感染させます。 ファイルレピュテーションサービスを介して、不正なファイルの実行を検知・防止することができます。 また、Webレピュテーションサービスによる悪意のあるサイトへのアクセスをブロックし、ZBOTの亜種からユーザーを保護するほか、感染したコンピューターが盗んだデータをアップロードしたり、コマンド&コントロール(C&C)サーバーから追加のマルウェアをダウンロードしようとするフォンホームの試行からも保護します。 また、Web Protection Add-Onを使用して、Webの脅威やボット関連の活動からコンピュータを積極的に保護することができます。 RUBotted は、自分のマシンがボット ネットワークの一部であるかどうかを確認するために使用できます。
この脅威に対する我々のヒューリスティック検出の一部は、MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 および MAL_ZBOT-7 でした。 専門家の洞察
「最近の Kneber ボットネット攻撃は、ZeuS トロイの木馬 (または ZBOT) ファイルが使用されていることを示すもうひとつの出来事である」。 トレンドマイクロは、2007 年の時点で、この件に関するブログ エントリを投稿しています。 私たちに関する限り、驚きもしません」
-Jamz Yaneza、最近の Kneber 攻撃とこの問題を取り巻くメディアの宣伝について
「ZeuS (ZBOT) バイナリは検出を逃れるために 1 日に数回絶えず変更されるので、アンチウイルスでその先を進むことは困難です」
。「
Paul Ferguson 氏は、内国歳入庁 (IRS) と称するスパムメッセージを使用した 2009 年 9 月の ZeuS 攻撃について、次のように述べています。