背景
これまでの防御者は、ボットネットを破壊するためには、コマンド&コントロール(C2)サーバーを見つけて確保することが基本的な戦略でした。この弱点を利用して、世界中の法執行機関はEmotet、TrickBot、QakBotなどの巨大なボットネットを打撃してきました。
しかし、新たに発見されたC2フレームワークであるAeternumは、これらの戦術が効果的でなくなる可能性があります。Aeternumは中央集権的なサーバーやドメインを使用せず、スマートコントラクトにすべての命令(ペイロード配信や設定更新など)を書き込みます。
Aeternumの仕組み
感染したマシンは公開RPCエンドポイントを問い合わせることで指示を受け取ります。この設計により、Aeternumのコントロールインフラストラクチャが実質的に永久に存在することになります。
- トランザクション: ブロックチェーン上に記録されたトランザクションは、検閲や変更、取り押さえができません。また、世界中の数千のノードで複製されます。
- コントロールパネル: 地下フォーラムからのスクリーンショットでは、洗練されたウェブダッシュボードが表示され、オペレーターはアクティブなスマートコントラクトを選択し、新しい命令を発行し、感染したデバイスを追跡することができます。
- コマンドの永続性: トランザクションがブロックチェーンに記録されると、それは変更不可能になります。オペレーターは複数の契約を同時に管理し、それぞれが異なるペイロード(情報窃取者、暗号通貨マイナー、またはRATなど)に関連付けられます。
影響と対策
Aeternumはダークネットマーケットプレイスで販売されており、永続的なコントロールネットワークを求めるサイバー犯罪者にとって障壁が低くなります。
- 検出回避: Aeternumには仮想マシンチェックやスキャンタイムのアンチウイルススキャナが統合されており、セキュリティエンジンでの検出を防ぎます。
- 防御者への影響: 今後はサーバーではなくブロックチェーン自体に焦点を当てた戦略が必要になります。DDoSの事前対策やネットワークエッジでのトラフィックフィルタリングが重要となります。
- 新たな脅威: Aeternumはサイバー犯罪者と防御者の間で行われている軍拡競争における重要な一歩であり、持続的でインフラストラクチャのないボットネットを生み出す可能性があります。