セキュリティー & プライバシー・サービス

Pushdo による SSL を使用した DDoS 攻撃

世界的に有名なセキュリティー情報研究チームである IBM Internet Security Systems の X-Force が米国で発表したアドバイスを日本語に翻訳したものです。

セキュリティー & プライバシー・サービス

特集・記事

掲載日 03 Feb 2010

		IBM Internet Security Systems プロテクション・アラート

		IBM ISS の対応範囲

		詳細

		参照

		改訂履歴

		X-Force セキュリティー・アラート＆アドバイザリー

IBM Internet Security Systems プロテクション・アラート

通知日	：	2010 年2月2 日
通知バージョン	：	1.0
名称	：	Pushdo による SSL を使用した DDoS 攻撃
公開/流通日	：	2010年1月29日
別称	：	Cutwail, Pandex
分類	：	マルウェア、DDos
説明	：	Pushdo は、主にスパム送信に使用されるボットネットです。最近では、SSL を使用している特定の Web サイトに対して分散型サービス不能 (DDos) 攻撃を仕掛けていることが確認されています。Pushdo マルウェアは Pandex としても知られていますが、一部のコンポーネントは Cutwail と称されています。
分析者	：	Jonathan Larimer, IBM X-Force

上に戻る

IBM ISS の対応範囲

製品	コンテンツバージョン
Proventia Network IDS Proventia Network IPS Proventia Network MFS Proventia Server (Linux) RealSecure Network RealSecure Server Sensor	30.010
Proventia Desktop Proventia Server IPS (Windows)	2470

伝播テクニック	IBM ISS 製品	入手可能日
下記の「参照」欄をご覧ください。	tbd	tbd

検出テクニック	IBM ISS 製品	入手可能日
ネットワーク・ボット検知 SSL DDos トラフィックからの保護	Trojan_Pushdo SSL_Hello_Msg_DoS (default block)	2010年1月12日 2004年4月13日

上に戻る

詳細

ビジネスへの影響
このマルウェアの標的はエンドポイントです。このマルウェアの感染は、完全にセキュリティーが侵害され、機密情報の漏えい、生産性の損失、ネットワークセキュリティーをさらに危険に曝してしまう危険性を意味しています。
Pushdo は、主にスパム送信に使用されるボットネットです。最近では、SSL を使用している有名な Web サイトに対して分散型サービス不能 (DDos) 攻撃を仕掛けていることが確認されています。

概要
Pushdo にはダウンローダー・コンポーネントが含まれており、Pushdo 自体を容易にアップデートするほか、新しいコンポーネントをダウンロードすることができます。Pushdo マルウェアの感染によって生成されたコマンド・アンド・コントロール (C&C) トラフィックは、Proventia により Trojan_Pushdo として検出されます。最近発生している SSL DDos 攻撃は、SSL_Hello_Msg_DoS として検出されます。この DDos 攻撃は、攻撃対象のホストのリソースを使い果たすことを目的としており、数千もの不正な形式の SSL リクエストを送信することが必要です。

上に戻る

参照

Pushdo による SSL を使用した DDoS 攻撃：

http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20100129

Pushdo DDoS 攻撃に関するより詳しい情報：

http://isc.sans.org/diary.html?storyid=8131

Pushdo に関する分析：

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/study_of_pushdo.pdf

上に戻る

改訂履歴

1.0 初期公開

上に戻る

X-Force セキュリティー・アラート＆アドバイザリー

一覧はこちらから

上に戻る