ニュースに戻る
速報

Aeternumボットネット、Polygonブロックチェーンを活用した耐障害性C&Cインフラを構築

1分で読めますソース: SecurityWeek

AeternumボットネットがPolygonブロックチェーンのスマートコントラクトをC&Cインフラに採用。分散型技術による耐障害性と検出回避の新たな脅威を解説。セキュリティ対策のポイントも紹介。

Aeternumボットネット、PolygonブロックチェーンをC&Cインフラに活用

セキュリティ研究者らは、AeternumボットネットローダーPolygonブロックチェーンのスマートコントラクトを利用して、高い耐障害性を持つコマンドアンドコントロール(C&C)インフラを構築していることを確認しました。この進化は、ボットネット運用における大きな転換点であり、分散型技術を活用して従来のテイクダウン対策を回避する新たな手法として注目されています。

主要ポイント

  • ボットネット名:Aeternum(ローダー亜種)
  • 使用ブロックチェーン:Polygon(Ethereum互換のレイヤー2ソリューション)
  • メカニズム:スマートコントラクトによるC&C通信
  • 影響:インフラの破壊に対する耐性が向上

技術的実装

Aeternumの運営者は、Polygonベースのスマートコントラクトを統合し、C&C通信を実現しています。従来のボットネットが中央集権型サーバーやドメイン生成アルゴリズム(DGA)に依存していたのに対し、この手法はブロックチェーンの不変性と分散性を活用して以下の利点を実現しています。

  • 単一障害点の排除:スマートコントラクトは分散型ネットワーク上にデプロイされるため、従来の手法(サーバー差し押さえやDNSシンクホールなど)ではC&Cインフラを解体することがほぼ不可能です。
  • ステルス性の向上:通信はブロックチェーン取引に埋め込まれ、正規のトラフィックと混在することで検出が困難になります。
  • 持続性の確保:ノードが侵害されても、ボットネットは動的に代替のコントラクトアドレスやフォールバックメカニズムを使用して再構成できます。

具体的なスマートコントラクトアドレスやトランザクションハッシュは公開されていませんが、研究者らはAeternumの実装が、TrickBotのEthereumを用いた初期の実験GluptebaのBitcoinを利用したC&Cといった他のブロックチェーンベースのマルウェアで観察された手法に類似していると指摘しています。

影響分析

PolygonブロックチェーンをC&C運用に採用することで、防御側には以下のような課題が生じています。

  1. テイクダウン耐性:C&Cサーバーの差し押さえやドメインの無効化といった従来のボットネット無力化手法は、分散型インフラには効果がありません。法執行機関やセキュリティチームは、オンチェーンデータの永続性ブロックチェーンネットワーク固有の管轄問題に対処する必要があります。

  2. 検出回避:ブロックチェーントランザクションは暗号化され、分散されているため、悪意のあるC&Cトラフィックと正規のPolygonネットワーク活動を区別することが困難です。シグネチャベースの検出ツールでは、高度な行動分析なしにボットネット通信を特定することが難しくなっています。

  3. スケーラビリティ:Polygonのレイヤー2ネットワークは低コストかつ高スループットであるため、Aeternumは運用オーバーヘッドを大幅に増やすことなく、ボットネットの規模を迅速に拡大できます。

  4. 帰属の困難さ:ブロックチェーンの匿名性により、ボットネット運営者の追跡が複雑化します。トランザクションはミキサーやプライバシー重視のウォレットを通じて難読化される可能性があります。

セキュリティチーム向け推奨対策

Aeternumのようなブロックチェーン対応ボットネットからのリスクを軽減するために、組織は以下の対策を講じるべきです。

  • ブロックチェーン活動の監視PolygonやEthereumのトランザクションを分析し、C&C通信を示唆する異常なパターンを検出できるツールを導入します。ChainalysisTRM Labsなどのソリューションが、不審なオンチェーン活動の追跡に役立ちます。

  • エンドポイント検出の強化:ボットネット感染を特定するために、行動ベースの検出を優先します。以下のような指標に注目しましょう。

    • ブロックチェーンRPCエンドポイントへの異常なアウトバウンド接続。
    • 暗号通貨ウォレットやスマートコントラクトとのインタラクションを試みるプロセス。

  • ネットワークセグメンテーションの実施:ブロックチェーンネットワークとのインタラクションが可能なエンドポイントから重要システムを分離し、ボットネットマルウェアのラテラルムーブメントのリスクを低減します。

  • ブロックチェーンフォレンジック専門家との連携ブロックチェーンフォレンジックを専門とする企業と協力し、特に法執行機関と連携してボットネット関連のトランザクションを追跡・無力化します。

  • 新たな脅威に関する情報収集CISA、MITRE、セキュリティベンダーからのアドバイザリを追跡し、ブロックチェーンベースのマルウェアの戦術、技術、手順(TTPs)に関する最新情報を入手します。

結論

AeternumがPolygonブロックチェーンのスマートコントラクトをC&C運用に活用している事例は、ボットネットインフラの高度化を示すものです。脅威アクターが分散型技術を悪用し続ける中、セキュリティチームはブロックチェーン対応の検出機能分散型脅威インテリジェンスを防御戦略に組み込む必要があります。今後のAeternumのスマートコントラクトロジックに関する研究により、対抗策の機会が見出される可能性がありますが、現時点では、このボットネットは従来のサイバーセキュリティ防御にとって依然として大きな課題となっています。

共有

TwitterLinkedIn