先日、ビットコイン取引情報を使用してDGA(Domain Generation Algorithms)ドメイン名を生成する新たなボットネットが発見された。ビットコインの取引は不確実であるため、この生成技術は一般的な時間で生成されるDGAを用いるよりも予測不可能であり、防御が困難とされている。

Network Security Research Lab at 360は8月5日(現地時間)、「A new botnet Orchard Generates DGA Domains with Bitcoin Transaction Information」において、新しいボットネット「Orchard」を発見したと伝えた。

  • A new botnet Orchard Generates DGA Domains with Bitcoin Transaction Information

    A new botnet Orchard Generates DGA Domains with Bitcoin Transaction Information

DGAはボットネットがコマンド&コントロール(C2: Command and Control)インフラを隠すための古典的な手法の一つとされている。攻撃者はごく少数のC2ドメインを選択的に登録すれば済むが、防御側にとってはどのドメイン名が生成/登録されるかを事前に判断することが難しいとされている。

OrchardがDGAドメイン名を生成する技術にビットコイン取引情報を悪用していることが明らかとなった。このボットネットは2021年2月に観測されて以来、バージョンアップが3回行われており、その間にプログラミング言語も切り替わっているという。

Orchardの基本的な機能は次のとおり。

  • デバイスとユーザーの情報をアップロードする
  • コマンドへの応答・モジュールの次のステージを実行するためのダウンローディング
  • USBストレージデバイスへの感染
  • 実装にC++を使用

Orchardは1年以上にわたってアップデートされており、バージョン2では実装にGolangとC++が併用されていた時期もあったことが確認されている。また最新のバージョン3では、侵害されたシステムのリソースを悪用して暗号資産「Monero」用のマイニングプログラムであるXMRigを起動する機能が組み込まれたとされている。

Network Security Research Lab at 360は、Orchardが依然として活発で警戒に値するボットネットファミリと指摘している。また、今後も亜種の出現が予想されるため、引き続き監視を続けて新たな発見があれば公表していくと述べている。