Latest evidence-based health information
Sitemap
Airpods

巧妙なLinuxマルウェアには、洗練されたカスタムビルドのルートキットが付属しています

Otpoo
Otpoo xumh
巧妙なLinuxマルウェアには、洗練されたカスタムビルドのルートキットが付属しています
巧妙なLinuxマルウェアには、洗練されたカスタムビルドのルートキットが付属しています

ARM アーキテクチャの組み込みデバイスを含む Linux システム向けに設計されたマルウェア プログラムは、感染ごとにカスタム構築された高度なカーネル ルートキットを使用します。

XOR.DDoSとして知られるこのマルウェアは、セキュリティ調査会社Malware Must Dieによって9月に初めて発見されました。しかし、その後進化を続け、1月20日にも新たなバージョンが確認されていたことが、この脅威を詳細に分析したセキュリティ企業FireEyeが木曜日に発表した新たなレポートで明らかになりました。

XOR.DDoS は、主に香港を拠点とする Hee Thai Limited という会社に登録されたインターネット プロトコル (IP) アドレスから開始される SSH (セキュア シェル) ブルート フォース攻撃によって、標的のシステムにインストールされます。

これらの攻撃は、様々な辞書ベースの手法と過去のデータ侵害のパスワードリストを用いて、ルートアカウントのパスワードを推測しようとします。FireEyeは、標的のサーバー1台あたり24時間以内に2万件を超えるSSHログイン試行を観測し、11月中旬から1月末にかけては1台あたり100万件を超えるSSHログイン試行を観測しました。

攻撃者がルートパスワードを推測すると、セミコロンで区切られた複数のシェルコマンドで構成される複雑なSSHリモートコマンド(時には6,000文字以上)を送信します。これらのコマンドは、オンデマンドのマルウェア構築システムを利用した高度な感染チェーンの一部として、様々なスクリプトをダウンロードして実行します。

SSHリモートコマンドの使用は重要です。OpenSSHは、たとえ「ログが最も詳細な設定になっている場合でも」、そのようなコマンドをログに記録しないからです。FireEyeの研究者はこう述べています。「リモートコマンドはターミナルセッションを作成しないため、TTYログシステムもこれらのイベントをキャプチャしません。最近のログイン一覧を表示するlastコマンドとlastlogコマンドも、ブラインドログです。」

初期スクリプトは、感染システムからLinuxカーネルヘッダーを収集し、既存のロード可能カーネルモジュール(LKM)から「vermagic」文字列を抽出します。この情報は攻撃者が管理するサーバーに送信され、LKMとして機能し、感染システムごとにカスタマイズされたルートキットを自動的に構築するために使用されます。

この洗練されたオンデマンド ビルド インフラストラクチャは、各 LKM が実行対象の特定のカーネル用にコンパイルされる必要があるため、さまざまなカーネルお​​よびアーキテクチャ用の LKM ルートキットの作成を自動化します。

Linux攻撃 Flickr/Creative Commons経由のrore

「カーネルバージョン間で移植可能なコードの作成を可能にする安定したカーネルAPIを持つWindowsとは異なり、LinuxカーネルにはそのようなAPIがありません」とFireEyeの研究者は述べています。「カーネルの内部構造はバージョンごとに変化するため、LKMはカーネルとバイナリ互換性がなければなりません。」

このルートキットの目的は、侵害を受けたシステムにインストールされ、主に攻撃者が分散型サービス拒否 (DDoS) 攻撃を開始するために使用するマルウェア プログラムである XOR.DDoS に関連するプロセス、ファイル、ポートを隠すことです。

「典型的な単純なDDoSボットとは異なり、XOR.DDoSはLinux OSを標的とする、より洗練されたマルウェアファミリーの一つです」とFireEyeの研究者は述べています。「また、マルチプラットフォーム対応で、C/C++ソースコードをコンパイルすることで、x86、ARM、その他のプラットフォームを標的とすることができます。」

XOR.DDoSは任意のバイナリファイルをダウンロードして実行できるため、自己更新も可能です。FireEyeはこれまでにXOR.DDoSの2つのメジャーバージョンを観測しており、2つ目のバージョンは12月末に初めて確認されました。

FireEyeの研究者らは、ネットワーク機器や組み込み機器はSSHブルートフォース攻撃に対して脆弱である可能性が高く、エンドユーザーが簡単に保護することができない可能性があると述べた。

リモート管理用に構成され、インターネット経由でアクセスできる組み込みデバイスは数多く存在します。2012年、匿名の研究者が、Telnetログインパスワードがデフォルトまたは未設定の組み込みデバイス42万台を乗っ取りました。彼はこれらのデバイスを用いて、後に「インターネット国勢調査2012」として知られる研究プロジェクトの一環としてインターネット全体をスキャンしました。

SSH 経由でアクセス可能で、XOR.DDoS 集団が使用するような複雑なブルート フォース攻撃に対して脆弱な弱いパスワードを使用しているデバイスの数は、おそらくこれよりはるかに多いでしょう。

FireEyeの研究者らは、可能であれば、これらのデバイスのSSHサーバーは認証にパスワードではなく暗号鍵を使用するように設定し、ルートアカウントのリモートログインを無効にするべきだと述べている。「個人ユーザーや中小企業のユーザーは、オープンソースのfail2banユーティリティをインストールできます。これはiptablesと連携してブルートフォース攻撃を検知・ブロックします。」

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

インテルの第8世代Core CPUはノートパソコンの性能を40%向上させる可能性がある

インテルの第8世代Core CPUはノートパソコンの性能を40%向上させる可能性がある

NPD:Xbox 360、9月の売上でPS3を上回る

NPD:Xbox 360、9月の売上でPS3を上回る

Pixstaレビュー:これはあなたが待ち望んでいたInstagramデスクトップクライアントです

Pixstaレビュー:これはあなたが待ち望んでいたInstagramデスクトップクライアントです

You Might Also Enjoy

GoogleがOfficeをクラウドに移行、しかしセキュリティ上の懸念は残る

GoogleがOfficeをクラウドに移行、しかしセキュリティ上の懸念は残る

AMDのRyzen 3 2200G(Radeon Vegaグラフィックス搭載)は、私たちのお気に入りの低価格ゲーミングCPUですが、さらに安くなりました。

AMDのRyzen 3 2200G(Radeon Vegaグラフィックス搭載)は、私たちのお気に入りの低価格ゲーミングCPUですが、さらに安くなりました。

RazerがBlackWidow V4 Proで大型ボードを復活

RazerがBlackWidow V4 Proで大型ボードを復活

Popular Articles

RazerがBlackWidow V4 Proで大型ボードを復活
最初の広告はマイケル・コースの協力によりインスタグラムで公開された。
「Chromebook Pixel」:待望の Google PC か?
Googleの新しい検索機能はAIを活用してAndroidスマートフォンとPCをさらにスマートにします
NPD:Xbox 360、9月の売上でPS3を上回る

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research