当社のスレットインテリジェンスチームの研究員であるアーチュリ・リーティオ(Artturi Lehtio)は、C&Cの経路としてサードパーティのWebサービスを悪用する件についての論文を先日のVB2015で発表した。

C&C-As-A-Service: Abusing Third-Party Web Services As C&C Channels

 以下が、その要約である。

 モダンなマルウェアの運用には、セキュアで信頼性があり、検知されない手段でマルウェアの制御や通信(C&C)を行うことが不可欠だ。しかし、通信インフラを自前で設計、実装、維持することは容易ではない。セキュアで信頼性のある通信に関心があるのは、偶然にもマルウェア運用者だけではない。人気のWebサービスもまた、セキュアで信頼性のあるサービスを顧客に提供したいと考えている。加えて、人気のWebサービスは大量の特定困難なWebトラフィックを生み出すという現実がある。そうしたWebサービスは、非常に魅力的に映り始めるだろう。その結果として意外なことでもないが、近年、TwitterやFacebook、GmailといったサードパーティのWebサービスをC&Cサーバとして悪用することが、マルウェア運用者の間で流行りつつあることが見て取れる。

 モダンなマルウェアがサードパーティのWebサーバをC&Cの経路として悪用する方法について、この論文では多数調査している。一般的なサイバー犯罪に始まり標的型の国家のスパイ行為に至るまで実在した例を用い、マルウェアに採用された方式ともっとも頻繁に悪用されたWebサービスの双方について、概観を包括的に示している。この論文ではさらに、マルウェアの運用者がサードバーティのWebサービスをC&Cの経路として悪用した場合にもたらされるメリットおよびデメリットを分析している。最後に、こうした方法がマルウェアの検知や回避に及ぼす課題について検証する。

 アーチュリの講演のスライドは、Virus Bulletinでダウンロードできる。

 また、論文「C&C-As-A-Service」はここにある[PDF]。