2015年9月29日

株式会社Doctor Web Pacific

Linuxkコンピューターを標的とするトロイの木馬は他のOSに比べて多くはありませんが、Doctor WebではLinuxマルウェアがしばしば検出されています。今回、Doctor Webラボにおいて解析された悪意のあるプログラムLinux.Ellipsis.1は、感染させたコンピューター上で「パラノイド」と呼ばれる興味深い動作を実行するものでした。

Linux.Ellipsis.1は被害者のコンピューター上にプロキシサーバーを設置するよう設計されています。ただし、その動作パターンはLinuxを標的とする他の悪意のあるプログラムのものとは異なり、Doctor Webセキュリティリサーチャーによって「パラノイド」と呼ばれています。サイバー犯罪者はこれまでも、Linux.Ellipsis.2と名付けられたまた別の悪意のあるプログラムによってハッキングしたデバイスに匿名でアクセスするために、プロキシサーバーを使用してきました。サイバー犯罪者はLinux.Ellipsis.2を使用してあらゆるネットワークデバイスまたはコンピューターにSSH経由で不正にアクセスし、Linux.Ellipsis.1によって匿名性を維持したまま悪意のある動作を実行します。

感染したコンピューター上で起動されると、Linux.Ellipsis.1は自身の作業ディレクトリを削除します。続けてiptablesルールのリストを削除し、動作中の複数のアプリケーション（イベントのロギングやトラフィックの分析に使用するプログラムなど）のプロセスを強制終了させます。その後、Linux.Ellipsis.1は既存のディレクトリおよびシステムログファイルを同じ名前のフォルダと置き換えます。これにより、以後は同じ名前でログを作成することができなくなります。

次に、Linux.Ellipsis.1はalias passwd=cat\n ストリングを追加することで/etc/coyote/coyote.conf設定ファイルを改変します。続けて/bin/、/sbin/、および/usr/bin/から複数のシステムツールを削除し、その動作に必要ないくつかのファイルにimmutable属性を付加します。また、設定ファイル内または受け取ったコマンド内で指定されたサブネットIPアドレスをブロックします。この「ブロック」により、該当するiptablesルールが作成された後、特定のIPアドレスは指定されたポートまたはプロトコル経由でパッケージを送信または受信することができなくなります。

Linux.Ellipsis.1の主な目的は感染させたコンピューター上にプロキシサーバーを設置することです。そのために、トロイの木馬はローカルアドレスおよびポート上での接続を監視し、それらを経由する全てのトラフィックをプロキシします。

他の悪意のあるプログラムに比べ、Linux.Ellipsis.1は比較的ユニークな機能を備えています。このトロイの木馬はネットワークトラフィック内で検索するストリングのリストを持ち、いずれかのストリングが検出された場合、該当するIPアドレスのリモートサーバーに対するデータの送信をブロックします。リストには受信するパッケージの内容に応じて異なる禁止語も含まれています。例えば、パッケージに“User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)”というストリングが含まれていた場合、リストには“eapmygev.”および“ascuviej.”の値が付加されます。また、Linux.Ellipsis.1は無視する語や疑わしい語のリストも備えています。

Linux.Ellipsis.1の動作が「パラノイド」と呼ばれる所以は、リスト上にあるリモートノードをブロックするだけでなく、全てのネットワーク接続をチェックし、接続を確立するIPアドレスをリモートサーバーに送信するという点にあります。サーバーからの応答として「kill」コマンドを受け取った場合、トロイの木馬は接続を確立していたアプリケーションを終了し、iptablesを使用してIPアドレスをブロックします。Linux.Ellipsis.1はホームディレクトリ内に「ip.filtered」ファイルを作成しますが、この「ip」がブロックされるIPアドレスを表すストリングに置き換えられます。名前に「sshd」を含むプロセスに対しても同様の操作が行われます。リスト内のIPアドレスは永続的にブロックされますが、その他のアドレスがブロックされるのは2時間のみです。悪意のあるプロセスによって30分ごとにホームディレクトリのコンテンツがスキャンされ、2時間以上前に作成されたファイルでIPアドレスで始まる名前を持つものが無いかどうか確認が行われます。その後、それらのファイルは削除され、該当するiptablesルールが作成されます。

Linux.Ellipsis.1の検出後間もなく、セキュリティリサーチャーによってLinux.Ellipsis.2が発見されました。その機能から、Linux.Ellipsis.2はLinux.Ellipsis.1と同一のウイルス開発者によって製作され、ブルートフォース攻撃によってパスワードを割り出すように設計されているものと考えられます。Linux.Ellipsis.1と同様、このトロイの木馬はiptablesルールのリストを削除し、邪魔になるアプリケーションを削除、起動時に引数として受信したアドレスのサーバーからタスクを受け取ります。Linux.Ellipsis.2は感染させたコンピューターのプロセッサ周波数からスキャンスレッドの合計数およびSSH接続を割り出します。

Linux.Ellipsis.2がサーバーから受け取るタスクには、悪意のあるプログラムが22番ポート上のSSH接続を使用するデバイスをスキャンするための、サブネットのIPアドレスが含まれています。そのようなデバイスが検出された場合、トロイの木馬は特別なリストを使用してあらゆるログインとパスワードの組み合わせを試すことで、それらデバイスへの接続を試みます。接続に成功すると、Linux.Ellipsis.2はサイバー犯罪者によって管理されるサーバーへ該当するメッセージを送信します。

Linux.Ellipsis.1およびLinux.Ellipsis.2のシグネチャは既にDr.Webウイルスデータベースに追加されています。そのため、Dr.Webユーザーに危害が及ぶことはありません。