ボットネットは数千台の感染したルーターから構成されているため、削除が難しいですが、効果的な対策方法があります。

新しい持続型ボットネット「KadNap」が発見されました

*Black Lotus Labs（Lumen）の研究者が、削除を試みても機能し続ける悪意あるネットワークを特定しました。*

調査結果
- KadNap ボットネットは約14,000台のルーターやその他のネットワークデバイスに感染しており、その大部分はAsus製です。
- ウイルスは、機器所有者が対処していない脆弱性を経由して拡散します。
多くの被害デバイスはAsusモデルであり、攻撃者はこのラインに特化した堅牢なエクスプロイトを発見しました。

脅威評価
- 研究者はゼロデイ（まだ知られていない脆弱性）の使用は低確率だと考えています。
- 昨年8月にはすでに10,000台の感染が確認され、そのほとんどは米国に所在していました。台湾、香港、ロシアでも数百件が報告されています。

動作技術
KadNap はピアリング型アーキテクチャ Kademlia（分散ハッシュテーブル）を利用し、管理サーバのIPアドレスを隠します。これによりボットネットは検知が難しく、従来の除去手法にはほぼ耐性があります。

> 「KadNap は匿名プロキシではなく、分散ピアリングネットワークを使用する点で際立っています」と Black Lotus のクリス・フォーマスとスティーブ・ラッドは Lumen ブログで述べています。
> 「攻撃者の意図は検知回避と情報セキュリティ専門家の作業を複雑化させることです。」

対策方法
- 通常のブロック手法に耐性があるものの、Black Lotus はボットネット管理インフラと他ノード間の全トラフィックを遮断する方法を開発しました。
- チームはコンプロマイズ指標（IOCs）を公開し、他組織が KadNap へのアクセスを迅速にブロックできるようにしています。

このように、KadNap は Asus の脆弱性とピアリングネットワークを利用して管理を隠す複雑で分散型ボットネットです。しかし Lumen の専門家はその拡散停止方法を既に発見し、さらなる感染からネットワークを保護するツールを提供しています。