2015年2月5日

株式会社Doctor Web Pacific

Doctor Webでは、Linuxを標的とする複雑かつ多目的なバックドアについて分析を行いました。この悪意のあるプログラムは犯罪者から受け取ったコマンドに従ってDDoS攻撃を行うほか、様々な悪意のあるタスクを実行します。

Linux.BackDoor.Xnote.1と名付けられたこの新たなLinuxバックドアを拡散するために、犯罪者はブルートフォースアタックを用いて標的となるシステムとの間にSSL通信を確立していました。Doctor Webセキュリティリサーチャーによる見解では、このバックドアは中国のハッカーグループChinaZの手によるものであると考えられています。

Linux.BackDoor.Xnote.1は感染させたシステム上で自身のコピーが既に実行されていないかどうかを確認し、実行されていた場合は動作を停止します。このマルウェアはシステムがスーパーユーザー（root）権限で起動されていた場合にのみインストールされ、インストール中に自身のコピーをiptable6という名前のファイルとして/bin/ディレクトリ内に作成した後、実際に起動に使用されたオリジナルのファイルを削除します。また、Linux.BackDoor.Xnote.1は"#!/bin/bash"で始まるスクリプトを/etc/init.d/ディレクトリ内で検索し、そこに別のラインを追加することでバックドアが自動起動するようにします。

このトロイの木馬は次の方法を用いて犯罪者の管理サーバーとデータのやり取りを行います。設定データを取得するため、Linux.BackDoor.Xnote.1は暗号化された設定ブロックの始まりを示す特殊なストリングを自身のボディ内で検索し、それを復号化します。続けて、リスト上にある管理サーバーに対してクエリの送信を開始し、応答するサーバーが見つかるまで、またはリストの最後尾に達するまで継続します。バックドアおよびサーバーはいずれもやり取りされるパケットの圧縮にzlibライブラリを用いています。

Linux.BackDoor.Xnote.1は感染したシステムに関する情報をサーバーに送信するとスタンバイモードになり、サーバーからのコマンドを待ちます。コマンドに複数のタスクの実行が含まれていた場合、バックドアはそれぞれが個別にサーバーとの接続を確立する別々のプロセスを作成し、各プロセスはそれらのサーバーから必要な全ての設定データを受け取り実行されたタスクの結果を送信します。

Linux.BackDoor.Xnote.1はコマンドに従って、感染したシステムにユニークなIDを割り当てる、指定されたアドレスを持つリモートホストに対してDDoS攻撃（SYNフラッド攻撃、UDPフラッド攻撃、HTTPフラッド攻撃、NTP増幅攻撃など）を実行する、攻撃を停止する、自身の実行ファイルをアップデートする、ファイルにデータを書き込む、自身を削除するなどのタスクを行います。そのほかLinux.BackDoor.Xnote.1は様々なファイルオブジェクトに対してタスクを実行する機能を備え、該当するコマンドを受け取ると感染したシステム内のファイルシステムに関する情報（ファイルシステム内の合計データブロック数、空きブロック数）をサーバーに送信したのち次のコマンドを待ちます。コマンドには次のようなものがあります。

• 指定されたディレクトリ内にあるファイルおよびディレクトリの一覧を作成
• ディレクトリのサイズに関するデータをサーバーに送信
• 受け取ったデータを保存するためのファイルを作成
• ファイルを受け取る
• C&Cサーバーにファイルを送信
• ファイルを削除
• ディレクトリを削除
• ファイルを受け取る準備が完了していることを知らせるシグナルをサーバーに送信
• ディレクトリを作成
• ファイルの名前を変更
• ファイルを実行

さらに、このバックドアは指定された環境変数でシェルコマンドを実行することでC&Cサーバーがシェルにアクセスすることを可能にし、感染したコンピューター上でSOCKSプロキシまたは自身のサーバーportmapを起動させることができます。

Dr.WebのウイルスデータベースにはLinux.BackDoor.Xnote.1のシグネチャが既に追加されているため、Dr.Web Anti-virus for Linuxによって保護されるシステムが被害を受けることはありません。