スイスのCERTがボットネットのドメイン名生成アルゴリズムを解読し、多数のトップレベルドメインをブロック

スイス政府コンピュータ緊急対応センター（GovCERT）は、ボットネットTofseeが通信に使用していたC&Cサーバーのドメイン名生成アルゴリズムを解析し、約520のスイスのドメイン名をブロックすることに成功し、ボットネットTofseeの能力を大幅に弱体化させました。

GovCERT はボットネット Tofsee からマルウェア サンプルを収集し、ボットネットのドメイン名がアルゴリズムによって生成されており、サイトの半分以上がスイスのトップレベル ドメイン名を使用し、残りが .biz 商用ドメイン名を使用していることを発見しました。これは当局から大きな注目を集め、当局は調査と分析を経て、最終的にドメイン名生成アルゴリズムの動作モードを解読し、今後12か月間に使用される可能性のある520以上のスイスのトップレベルドメイン名を算出しました。

マルウェア Tofsee DNS クエリのスクリーンショット

GovCERT は、このアルゴリズムに基づいてドメイン名のブラックリストを作成し、スイスのドメイン名レジストリにブラックリスト上のドメイン名を一時的にブロックするよう通知しました。ボットネットは今後 1 年間、これらのドメイン名を使用してコマンドを送信できなくなります。ただし、ボットネットは依然として .biz ドメイン名を使用して通信できるため、ボットネット間の通信を完全にブロックすることはできません。ボットネットでドメイン生成アルゴリズム (DGA) を使用する「利点」は、影響を受けるデバイスがアルゴリズムを使用して次の通信のドメイン名アドレスを決定し、ボットネット作成者が特定の時間に一時的に登録したドメイン名にアクセスして情報を受信するだけで済むため、発見される可能性が大幅に低くなることです。

GovCERT の行動はスパムやマルウェアの拡散に大きな影響を与えることはないが、これは国立 CERT センターがその機能を正しく活用していることの表れであり、スイスのネットワーク環境を規制し、マルウェアの発生源を減らすのに役立つだろう。