Kelihosボットネット

Kelihosボットネット(別名Hlux)は、主にスパム送信とビットコインの盗難に関与するボットネットです。[ 1 ]

歴史

Kelihosボットネットは2010年12月頃に初めて発見されました。[ 2 ]研究者は当初、ボットの手口ソースコードの類似性から、StormまたはWaledacボットネットの新しいバージョンを発見したのではないかと疑っていましたが、 [ 3 ] [ 4 ]ボットネットの分析により、そうではなく、45,000台の感染コンピュータを擁する新しいボットネットであり、1日に推定40億件のスパムメッセージを送信できることが判明しました。 [ 5 ] [ 6 ] 2011年9月、[ 7 ]マイクロソフト「Operation b79」というコードネームの作戦でボットネットを閉鎖しました。[ 5 ] [ 8 ]同時に、マイクロソフトは、ボットネットが使用した3,700のサブドメインを発行したことで、ボットネットへの関与の疑いで、 Dominique Alexander Piatti、dotFREE Group SRO、および22人のJohn Doe被告に対して民事訴訟を起こしました。[ 8 ] [ 9 ]これらの告訴は、マイクロソフトが被告らがボットネット管理者を故意に支援していなかったと判断したため、後に取り下げられた。[ 10 ] [ 11 ]

2012年1月、ボットネットの新しいバージョンが発見されました。これはKelihos.bまたはバージョン2と呼ばれることもあり、[ 1 ] [ 6 ] [ 7 ]、推定11万台の感染コンピュータで構成されています。[ 1 ] [ 12 ]同じ月に、マイクロソフトは元ITセキュリティ専門家のロシア人であるアンドレイ・サベルニコフをKelihosボットネットのソースコードの作成者として告訴しました。[ 11 ] [ 13 ] [ 14 ]ボットネットの2番目のバージョン自体は、2012年3月に複数の民間企業によってシンクホールによってシャットダウンされました。シンクホールとは、企業がボットネットを制御しながら元のコントローラーを遮断する手法です。[ 2 ] [ 15 ]

ボットネットのバージョン2がシャットダウンされた後、4月2日には早くも新バージョンが登場しましたが、このボットネットが無効化されたバージョン2の残骸なのか、それとも全く新しいバージョンなのかについては、研究グループの間で意見が分かれています。[ 16 ] [ 17 ]このバージョンのボットネットは現在、推定7万台の感染コンピュータで構成されています。Kelihos.cバージョンは主にFacebook経由でコンピュータに感染し、ウェブサイトのユーザーに悪意のあるダウンロードリンクを送信します。クリックすると、 Fifesocというトロイの木馬がダウンロードされ、コンピュータはボットネットの一部であるゾンビに変化します。 [ 18 ]

2015 年 11 月 24 日に Kelihos ボットネット イベントが発生し、ブラックリストに登録された IP の誤検知が広範囲に発生しました。

2015年11月24日 広範囲にわたる誤検知

本日早朝、非常に大規模なKelihosボットネットイベントが発生しました。大規模なイベントとは、多くのメールシステムでKelihosスパムが20%以上も流入し、受信メール量が最大500%も増加することを意味します。これは通常、珍しいことではありません。CBL/XBLは長年にわたり、このような大規模なKelihosスパムの急増(多くの場合、毎日)に対処してきました。

このメールは米国連邦準備制度理事会(FRB)からのものとされ、「米国連邦電信送金およびACHオンライン決済」の制限に関する内容が記載されていました。通知自体が偽物だっただけでなく、添付されたExcelスプレッドシート(​​.xls)には、Windows実行可能ウイルス(おそらくDyrezaまたはDridexマルウェア)をダウンロードするためのマクロ命令(ダウンローダー)が含まれていました。

残念ながら、CBLが最初に導入した検出ルールは詳細が不十分で、多くのIPアドレスが誤ってリストされていました。」[ 19 ]

2018年2月5日に公開された宣誓供述書は、ロシアのスパム王を裁きにかける上でAppleが果たした意外な役割を明らかにした。ピーター・レヴァショフは「Severa」という偽名でKelihosボットネットを運営し、スパマーやその他のサイバー犯罪者にアクセス権を貸し出していたとされている。しかし、レヴァショフが匿名性を保つために多大な努力を払っていたにもかかわらず、裁判記録によると、連邦捜査官は2016年5月20日から彼のiCloudアカウントを監視し、逮捕につながる可能性のある重要な情報を集めていた。連邦捜査令状が発効していれば、当局はアカウントへのログインに使用されたIPアドレスの記録を常に把握できていたはずであり、彼がスペインのバルセロナで休暇を過ごしていたことを容易に察知できたはずだ。そして、彼は米国法執行機関の要請により逮捕され、起訴のために米国に引き渡された。[ 20 ]

構造、運営、普及

Kelihosボットネットは、いわゆるピアツーピア型ボットネットであり、個々のボットネットノードがボットネット全体のコマンドアンドコントロールサーバーとして機能することができます。従来の非ピアツーピア型ボットネットでは、すべてのノードが限られた数のサーバーから指示を受け取り、「作業」を行います。これらのサーバーが削除または停止されると、ボットネットは指示を受けられなくなり、事実上シャットダウンしてしまいます。[ 21 ]ピアツーピア型ボットネットは、すべてのピアがボットネット全体に指示を送信できるようにすることでこのリスクを軽減し、シャットダウンを困難にしています。[ 2 ]

ボットネットの最初のバージョンは主にサービス拒否攻撃電子メールスパムに関与していましたが、ボットネットのバージョン2ではビットコインウォレットを盗む機能と、ビットコイン自体をマイニングするプログラムが追加されました。 [ 2 ] [ 22 ]スパム機能により、ボットネットはユーザーにマルウェアリンクを送信してトロイの木馬に感染させることで拡散しますが、後のバージョンは主にソーシャルネットワークサイト、特にFacebookを通じて拡散しています。[ 16 ] [ 23 ] Kelihosスパムのより包括的なリストについては、次の研究論文をご覧ください。[ 24 ]

米国対レヴァショフ捜索令状(公開)

逮捕と引き渡し

2018年2月2日、米国司法省は、ロシア国民がスペインから送還され、 Kelihosボットネットを操作したとされる容疑でコネチカット州で罪状認否されると発表した。ピーター・ユリエヴィッチ・レヴァショフ(37歳)、別名ピョートル・レヴァショフ、[ 25 ]ペトル・レヴァショフ、ピーター・セベラ、ペトル・セベラ、セルゲイ・アスタホフ、サンクトペテルブルク在住は、2017年4月7日にバルセロナで拘留された。その際、米国コネチカット州地方裁判所で発行された刑事告訴と逮捕状に基づき、スペイン当局に逮捕された。[ 26 ] 2018年2月3日、彼は米国コネチカット州の連邦判事の前に出廷した後、有線およびメール詐欺ハッキング個人情報窃盗共謀の容疑に対して無罪を主張した。彼は現在も拘留されている。[ 25 ] 2018年9月、レヴァショフは有罪を認めた。[ 27 ]

参照

参考文献

  1. ^ a b c Mills, Elinor (2012年3月28日). 「11万台のPCを擁するKelihosボットネットが撤退」 . CNET . 2012年4月28日閲覧
  2. ^ a b c d Ortloff, Stefan (2012年3月28日). 「FAQ: 新しいHlux/Kelihosボットネットの無効化」 . Securelist.com . 2020年5月19日閲覧
  3. ^ Adair, Steven (2010年12月30日). 「ホリデーシーズンに出現する新たなFast Fluxボットネット:Storm Worm 3.0/Waledac 2.0の可能性?」 Shadowserver . 2012年4月21日時点のオリジナルよりアーカイブ。 2012年4月28日閲覧
  4. ^ Donohue, Brian (2012年3月29日). 「Kelihosが復活:同じボットネットか、それとも新バージョンか?」 Threatpost . 2012年4月4日時点のオリジナルよりアーカイブ。 2012年4月28日閲覧
  5. ^ a b Mills, Elinor (2011年9月27日). 「Microsoft、新たなボットネット「Kelihos」を停止」 . CNet . 2012年4月28日閲覧
  6. ^ a bカーク、ジェレミー (2012年2月1日). 「Kelihosボットネット、かつては弱体化していたが、今や勢力を拡大」 . Network World . 2012年9月5日時点のオリジナルよりアーカイブ。 2012年4月28日閲覧
  7. ^ a b Constantin, Lucian (2012年3月28日). 「セキュリティ企業が第2のKelihosボットネットを無効化」 . PCWorld . 2012年4月28日閲覧
  8. ^ a b Boscovich, Richard (2011年9月27日). 「Microsoft、Kelihosボットネットを無力化し、被告を発表」 . Microsoft TechNet . 2012年4月28日閲覧
  9. ^ Microsoft (2011年9月26日). 「Operation b79 (Kelihos) and Added MSRT September Release」 . Microsoft Technet . 2012年4月28日閲覧
  10. ^ Latif, Lawrence (2011年10月27日). 「Microsoft、ISPオーナーに対するKelihosボットネット疑惑を否定」 The Inquirer . 2011年10月30日時点のオリジナルよりアーカイブ。 2012年4月28日閲覧
  11. ^ a b Gonsalves, Antone (2012年1月24日). 「Microsoft、元ウイルス対策ソフトメーカーがボットネットを運営していたと発表」 . CRN Magazine . 2012年4月28日閲覧
  12. ^ Warren, Tom (2012年3月29日). 「第2のKelihosボットネットがダウン、11万6000台のマシンが解放」 The Verge . 2012年4月28日閲覧
  13. ^ブリュースター、トム (2012年1月24日). 「マイクロソフト、Kelihosボットネット作成に元ウイルス対策担当者を関与か」 IT PRO . 2012年4月28日閲覧
  14. ^ Keizer, Gregg (2012年1月24日). 「Kelihosボットネット作成者の容疑者は2つのセキュリティ企業に勤務していた | ITworld」 . ITworld . 2012年4月28日閲覧
  15. ^ Donohue, Brian (2012年3月28日). 「Kaspersky、Kelihosボットネットを再び攻撃、しかし復活を期待」ThreatPost . 2012年4月12日時点のオリジナルよりアーカイブ。 2012年4月28日閲覧
  16. ^ a b Raywood, Dan (2012年4月2日). 「CrowdStrikeの研究者、Kelihosによる新バージョンの作成を否定 - SC Magazine UK」 . SC Magazine . 2012年4月6日時点のオリジナルよりアーカイブ。 2012年4月29日閲覧
  17. ^ Leyden, John (2012年3月29日). 「ボットネットによる大量虐殺の後、Kelihosゾンビが大量墓地から出現」 . The Register . 2012年4月28日閲覧
  18. ^ SPAMfighter News (2012年4月13日). 「Kelihosボットネットが再出現、今度はソーシャルネットワークを攻撃」 . SPAMfighter . 2012年4月28日閲覧
  19. ^ http://www.abuseat.org
  20. ^ 「連邦政府、iCloudアカウントの助けを借りてロシアのスパム王を追跡」 The Verge 2018年2月6日閲覧
  21. ^ Grizzard, Julian; David Dagon; Vikram Sharma; Chris Nunnery; Brent ByungHoon Kang (2007年4月3日). ピアツーピアボットネット:概要とケーススタディ」ジョンズホプキンス大学応用物理学研究所. 2012年4月28日閲覧。
  22. ^ SPAMfighter (2012年4月5日). 「セキュリティ企業がKelihosボットネットバージョン2を閉鎖」 . SPAMfighter . 2012年4月28日閲覧
  23. ^ Jorgenson, Petra (2012年4月6日). 「Kelihosボットネット、Facebookワーム経由で再拡大か」 . Midsize Insider . 2012年4月29日閲覧
  24. ^ Arora, Arsh; Gannon, Max; Warner, Gary (2017年5月15日). 「Kelihosボットネット:終わりなき物語」 . ADFSLデジタルフォレンジック、セキュリティ、法律に関する年次会議.
  25. ^ a b 「スパムネットワーク運営の疑いで起訴されたロシア人、米国に送還」ドイチェ・ヴェレ2018年2月3日. 2019年4月2日閲覧
  26. ^ 「Kelihosボットネットの運営容疑者がスペインから送還される」 www.justice.gov 2018年2月2日2018年2月3日閲覧
  27. ^ Farivar, Cyrus (2018年9月13日). 「ロシア人男性が有罪答弁、悪名高いKelihosボットネットを運営していたことを認める」 ArsTechnica . 2019年4月2日閲覧
「 https://en.wikipedia.org/w/index.php?title=Kelihos_botnet&oldid=1321195633」から取得