新世代bot
新世代botというか、一部の専門家の間では予想されていたことが現実となりつつあるようだ。
▽ 暗号とP2P駆使する新手のボット - ITMedia
http://www.itmedia.co.jp/enterprise/articles/0605/02/news014.html
昨年、Internet Week 2005でのSecurity Dayや、デジタル・フォレンジックコミュニティ2005に参加し、
小山覚氏(Telecom-ISAC Japan)のプレゼンを直接拝見したことがあるのだが、この半年で
botはさらに進化し、潜在化が顕著になったと言える。
従来型botの大半は、Herderとの通信にIRCを用いてコマンドを受け取り活動していた。
このため、ネットワーク監視時に(普段は使われることのない)IRCが出現した場合、
またはクライアント側にIRCポートが開かれていた場合、botの存在を疑うことができた。
しかし、botnet内での指示伝達系統がP2P化され、かつ暗号化されると、単純なネットワーク監視での
発見は困難となり、また、IDSやIDPでのルールによる検出も容易ではなくなる。
そうなるとトラフィック等の異常な振る舞いを検出する"Behavior-Based Network Security"が
主流になってくるのだろう。
しかし、そうなると(とりあえず)正当なP2Pアプリケーションとも言えるSkype等と
どう見分けていくか(見分けるための検出技術を確立するか)が課題となる。
▽ 「Skypeがボットネットの動きを隠す」セキュリティ研究者が警告 - ITPro
http://itpro.nikkeibp.co.jp/article/NEWS/20060131/228254/
アプリケーションの通信形態は、SkypeなどのVoIP系ツールや、Winny、Shareなどのファイル共有ツール、
また、旧来からのVPN構築ツールなどで見るように、オーバーレイネットワーク化されつつある。
「木を隠すには森の中」じゃないが、タダでさえ全貌把握が困難なオーバーレイネットワークの
中にMalwareが潜み、かつ目立たぬようひっそりと活動された日には、その検出は困難を極めるだろう。
こうしてネットワーク管理者の眠れない日々が続く・・・(泣)。
【関連情報】
▽ 構築も攻撃も容易、ボットは非常に「優れた」システム - ITMedia
http://www.itmedia.co.jp/enterprise/articles/0604/27/news034.html
▽ 「ボットネットを“飼って”みました」Telecom-ISAC Japan - ITPro
http://itpro.nikkeibp.co.jp/article/NEWS/20060426/236401/
(追記)
統計もっと勉強しときゃよかった・・・
▽ 暗号とP2P駆使する新手のボット - ITMedia
http://www.itmedia.co.jp/enterprise/articles/0605/02/news014.html
昨年、Internet Week 2005でのSecurity Dayや、デジタル・フォレンジックコミュニティ2005に参加し、
小山覚氏(Telecom-ISAC Japan)のプレゼンを直接拝見したことがあるのだが、この半年で
botはさらに進化し、潜在化が顕著になったと言える。
従来型botの大半は、Herderとの通信にIRCを用いてコマンドを受け取り活動していた。
このため、ネットワーク監視時に(普段は使われることのない)IRCが出現した場合、
またはクライアント側にIRCポートが開かれていた場合、botの存在を疑うことができた。
しかし、botnet内での指示伝達系統がP2P化され、かつ暗号化されると、単純なネットワーク監視での
発見は困難となり、また、IDSやIDPでのルールによる検出も容易ではなくなる。
そうなるとトラフィック等の異常な振る舞いを検出する"Behavior-Based Network Security"が
主流になってくるのだろう。
しかし、そうなると(とりあえず)正当なP2Pアプリケーションとも言えるSkype等と
どう見分けていくか(見分けるための検出技術を確立するか)が課題となる。
▽ 「Skypeがボットネットの動きを隠す」セキュリティ研究者が警告 - ITPro
http://itpro.nikkeibp.co.jp/article/NEWS/20060131/228254/
アプリケーションの通信形態は、SkypeなどのVoIP系ツールや、Winny、Shareなどのファイル共有ツール、
また、旧来からのVPN構築ツールなどで見るように、オーバーレイネットワーク化されつつある。
「木を隠すには森の中」じゃないが、タダでさえ全貌把握が困難なオーバーレイネットワークの
中にMalwareが潜み、かつ目立たぬようひっそりと活動された日には、その検出は困難を極めるだろう。
こうしてネットワーク管理者の眠れない日々が続く・・・(泣)。
【関連情報】
▽ 構築も攻撃も容易、ボットは非常に「優れた」システム - ITMedia
http://www.itmedia.co.jp/enterprise/articles/0604/27/news034.html
▽ 「ボットネットを“飼って”みました」Telecom-ISAC Japan - ITPro
http://itpro.nikkeibp.co.jp/article/NEWS/20060426/236401/
(追記)
統計もっと勉強しときゃよかった・・・
