IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > SpyEyeボットの通信からの検出について

SpyEyeボットの通信からの検出について

IIR Vol.13の1.4.2節ではSpyEyeボットの検出方法について、通信データからの観点と感染したホスト上からの観点で述べています。今回はこの通信データについてもう少し突っ込んで説明します。

SpyEyeボットはCollectorデーモンとWeb UIの2種類のサーバと通信を行います。Collectorデーモンとの通信は圧縮処理やXORエンコードなどが施されているので、検出を行うのは困難だと思われますが、Web UIとの通信は、1.3.10ではGETパラメータ、1.3.45ではbase64でエンコードされたPOSTパラメータとして送信されるので、シグネチャを生成するのは容易です。たとえばGETパラメータとして送信された場合は、以下のようなデータになります。

SpyEyeボットの通信

個人的な意見ですが、この通信のみでSpyEyeを検出するのはリスクがあると思います。理由は2つあります。

まず、この通信はcustomconnectorというconfig.bin内のプラグインによって行われる通信であるということです。プラグインによる通信はSpyEyeの動作に必須ではないので、ボットのアップデートなどの制御を必要としないならば、Collectorデーモンとの通信のみでシステムを構築することもできます。

もう1つの理由としては、Web UIとの通信はいずれ検出が難しくなるのではないかという懸念があります。既に、1.3.48ではXORでエンコードして送信しているという情報もあります。今後のバージョンでは、単純なXORだけではない、より複雑なエンコード処理が施される可能性が高いと考えています。

よって、通信からの検出のみに頼らず、ホスト上から効率よく検出する手法についても検討すべきです。この手法については、また機会があれば書かせていただきたいと思います。

-
 
カテゴリー :
セキュリティ事件  
タグ :
Malware  
この記事のURL :
https://sect.iij.ad.jp/d/2011/11/117119.html