2014年12月3日

株式会社Doctor Web Pacific

Doctor WebセキュリティリサーチャーはLinuxを標的とする危険なマルウェアについて解析を行いました。Linux.BackDoor.Fgt.1としてウイルスデータベースに追加されたこのマルウェアはDDoS攻撃を行うよう設計されていました。

感染したデバイス上で起動されると、Linux.BackDoor.Fgt.1はGoogleサーバーの一つにリクエストを送信することでデバイスがインターネットに接続されているかどうかを確認し、接続が確認されるとデバイスのIPおよびMACアドレスを取得します。次にLinux.BackDoor.Fgt.1は、自身のバージョンに関する情報を送信するために本体にハードコードされたC&Cサーバーアドレスに対して接続を試み、その応答として、感染したデバイス上で実行するコマンドを含んだデータを受け取ります。C&Cサーバーから送信されたコマンドがPINGであった場合、バックドアはPONGを返し、感染したデバイス上での動作を続行します。コマンドがDUPであった場合、Linux.BackDoor.Fgt.1は動作を停止します。

このバックドアは一つのサイクルで256のランダムなIPアドレスをスキャンする特殊なルーチンを使用し、スキャンのサイクルは犯罪者からのコマンドによって開始されます。IPアドレスの生成時に、Linux.BackDoor.Fgt.1はそれらがLAN内で使用されるアドレス範囲に含まれているかどうかを確認し、そのようなアドレスは無視します。接続に失敗した場合、Linux.BackDoor.Fgt.1は失敗に関する情報をC&Cサーバーに送信し、接続に成功した場合はTelnet経由でリモートホストに接続してログインプロンプトを待ちます。生成されたリストからログインをリモートホストに送信した後、Linux.BackDoor.Fgt.1はリモートマシンの応答を解析します。パスワードの要求が含まれていた場合、バックドアはリスト上で見つかったパスワードを使用してログインを試みます。成功すると、リモートホスト認証に使用されたIPアドレス、ログイン、パスワードがC&Cサーバーに送信され、ターゲットとなるノードには特別なスクリプトをダウンロードするためのコマンドが送信されます。このスクリプトによって、感染したシステム上にLinux.BackDoor.Fgt.1がダウンロードされ、起動されます。C&Cサーバーには、MIPS およびSPARCサーバーポートを含む異なるLinuxのバージョンやディストリビューション向けに設計された複数のLinux.BackDoor.Fgt.1実行ファイルが保存されていることから、このバックドアはインターネットに接続されたサーバーのみでなく、ルーターなどの他のデバイスをも感染させることが可能であるという点に注意する必要があります。

Linux.BackDoor.Fgt.1は以下のコマンド実行することができます。

• 感染したデバイスのIPアドレスを特定する
• IPスキャンを開始／停止
• 指定されたホストに対してDNSアンプ攻撃（DNS Amplification Attack）を実行する
• 指定されたホストに対してUDPフラッド攻撃を実行する
• 指定されたホストに対してSYNフラッド攻撃を実行する
• DDoS攻撃を停止
• バックドアをシャットダウン

Linux.BackDoor.Fgt.1のシグネチャは既にDr.Webウイルスデータベースに追加されているため、Doctor Web anti-viruses for Linuxユーザーに対して危害が及ぶことはありません。