疑似ボットスクリプトにより収集される攻撃命令に基づくIoTボットネットの活動分析

IoT マルウェアに感染した機器群によって構築されたIoT ボットネットが大きな脅威となっており，その活動実態の把握が対策を行う上で重要となっている．これまでに，マルウェアダウンロードサーバやC&C サーバなどの攻撃インフラを分析した研究が行われているが，それらの攻撃インフラがどのような攻撃活動を行っているかは十分に調査されていない．そこで本研究では，疑似ボットスクリプトによって収集した攻撃コマンドや，ハニーポットによって収集したIoT マルウェアのダウンロードサーバ情報，IoTマルウェアの短期動的解析によって収集したドメイン情報やC&C サーバのIP アドレス情報を用いて攻撃インフラのグルーピングを行い，IoT ボットネットの攻撃インフラの実態，活動期間や攻撃対象といった攻撃活動の実態を分析する．2022 年5 月から2023 年4 月までにハニーポットで観測されたマルウェアダウンロードサーバ4,141 件，17,067 個のマルウェア検体から抽出されたC&C サーバ1,586 件の情報に基づいて攻撃インフラのIP アドレスのグルーピングを行い，1,960 個のグループに分類した．攻撃グループには，同じIP アドレスでC&C サーバを長期間運用するケースや複数のIP アドレスやドメインを用いてC&C サーバを長期間運用するケースが確認された．また，疑似ボットスクリプトをC&C サーバに接続することで収集された攻撃命令339,040 件の情報に基づいて攻撃コマンドの同時性を分析することで，異なるグループに分類されたC&C サーバ同士のつながりを明らかにした．

IoT botnets have been significant threats over the years, and monitoring their activities is a fundamental step for efficient mitigation. Studies partly revealed how the attack infrastructures are located and managed. However, it remains unclear about their actual attack activities. This study analyzes observations, which consist of malware download servers, C&C servers extracted from malware binaries captured by honeypot, and commands received by botnet milker scripts. We grouped IP addresses of the attack infrastructures and analyzed their attack activities.The attack groups included cases where the same IP address was used for a long period of time and cases where multiple IP addresses or domains were used for a long period of time to operate their C&C servers. The linkages between the C&C servers servers classified into the different groups were clarified by analysing the concurrency of attack commands based on the information collected by botnet milker scripts.