Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Linux.BackDoor.Gates.5―また新たなLinuxトロイの木馬

2014年6月24日

株式会社Doctor Web Pacific


2014年5月、Doctor Webでは、これまでになく多くのLinuxを狙ったマルウェアが検出され、LinuxカーネルをベースとするOSを標的とした深刻な脅威は存在しないという考えに一石を投じる結果となりました。 さらに6月にはLinux.BackDoor.Gatesと名付けられた新たなLinuxトロイの木馬が出現しました。

Linux.BackDoor.Gatesプログラムはバックドア機能を備え、DDoS攻撃を実行します。 この記事では、Linux.BackDoor.Gatesファミリーに含まれるLinux.BackDoor.Gates.5について紹介します。この脅威は32ビットLinuxディストリビューションを標的としており、その特徴から、Linux.DnsAmpおよびLinux.DDosを開発した犯罪者らによって設計されたものであると考えられます。Linux.BackDoor.Gates.5は2つのメインモジュールから成り、1つ目のモジュールはバックドア機能を実行し、犯罪者から受け取ったコマンドを実行します。一方、2つ目のモジュールはインストールの間に1つ目のモジュールによってディスク上に保存され、DDoS攻撃を実行します。その動作の過程で、Linux.BackDoor.Gates.5は感染したコンピューターに関する次の情報を収集し犯罪者に送信します。

  1. CPUのコア数(/proc/cpuinfoから)
  2. CPU速度(/proc/cpuinfoから)
  3. CPU使用率(/proc/statから)
  4. ホストのIP(/proc/net/routeから)
  5. ゲートのMACアドレス(/proc/net/arpから)
  6. ネットワークインターフェースに関する情報(proc/net/devから)
  7. ネットワークアダプタのMACアドレス
  8. RAMの容量(/proc/meminfoのMemTotal)
  9. 送受信データ量(/proc/net/devから)
  10. OS名およびバージョン(unameコマンドを使用)

Linux.BackDoor.Gates.5は起動されると、その起動フォルダへのパスをチェックし、結果に応じて3つの動作パターンを適用します。

バックドアの実行ファイルへのパスがnetstat、lsof、psユーティリティへのパスと異なる場合、Linux.BackDoor.Gates.5は自身をバックグラウンド(デーモン)プロセスとして実行し、起動の間にその設定ファイルを抽出します。ファイルには、C&Cサーバー(command and control server)のポートおよびIPアドレス、インストールパラメータなどを含む、マルウェアの動作に必要な情報が含まれています。

設定ファイル内のg_iGatsIsFxパラメータの値に応じて、トロイの木馬はC&Cサーバーに接続するか、または接続受信を待ちます。接続が確立されると、リモートホストのIPアドレス認証を行い、認証されるとノードをコマンドサーバーとして認識します。

Linux.BackDoor.Gates.5はインストールの間にファイル/tmp/moni.lockをチェックし、PIDの有無を確認します。PIDが存在した場合、そのプロセスを”kill(強制終了)”します。次に、バックドアモジュールまたはDDoSモジュールが動作しているかどうかを確認します(動作中である場合はそれらのプロセスも”kill”されます)。その設定ファイル内にg_iIsServiceオプションが含まれている場合、トロイの木馬は/etc/init.d/ファイルに#!/bin/bash\nストリングを追加することで、システムスタートアップ時に自身が自動的に起動されるようにします。その後Linux.BackDoor.Gates.5は次のシンボリックリンクを作成します。


ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt

設定ファイル内にg_bDoBackdoorオプションが含まれている場合、トロイの木馬は、そのプロセスにルート権限を与えることが可能であるかどうかを確認するために/root/.profileファイルを開こうとします。次に/usr/bin/bsd-port/getty内に自身のコピーを作成し、それを起動させます。インストールの最後の段階として、Linux.BackDoor.Gates.5は/usr/bin/内にまた別の自身のコピーを設定ファイル内で指定された名前で作成し、次のユーティリティを置き換えます。


/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps

これでLinux.BackDoor.Gates.5のインストールが完了し、トロイの木馬はメインのタスクを実行します。

残り2つの動作パターンが適用された場合も、Linux.BackDoor.Gates.5は感染したシステム上で自身をデーモンプロセスとして起動し、そのコンポーネントが動作しているかどうかを確認するために該当する.lock-fileをチェックします(動作していない場合、それらを起動させます)。ただし、ファイルの保存および自動起動スクリプトの改変にバックドアが使用する名前は異なっています。

バックドアがC&Cサーバーに接続されると、Linux.BackDoor.Gates.5はタスクの実行に必要な情報を受け取ります。このトロイの木馬は犯罪者から送られるコマンドに従って、自身をアップデート、指定されたIPアドレスおよびポートを持つリモートノードに対してDDoS攻撃を開始または停止、指定されたIPアドレスを持つリモートノードとの接続を確立して別のコマンドを実行するなどの動作を実行することができます。

バックドアによって実行されるDDoS攻撃は主に中国に置かれたサーバーを標的としています。以下の図はこのトロイの木馬によるDDoS攻撃の地域別分布を表しています。

map

このプログラムはDr.Webウイルスデータベースに追加されており、Doctor Webアンチウイルスによって保護されたシステムに対して危害を与えることはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F