2016年4月13日

株式会社Doctor Web Pacific

サイバー犯罪者から受け取ったコマンドを実行し、感染したシステムに対するリモートコントロールを可能にする新たなトロイの木馬の出現は、情報セキュリティ分野において重大なイベントとなっています。特に、それらトロイの木馬がLinuxを標的とするものであった場合はなおさらです。4月、Doctor Webセキュリティリサーチャーによって、そのようなトロイの木馬が一度に複数発見され、それぞれ Linux.BackDoor.Xudp.1 、 Linux.BackDoor.Xudp.2 、 Linux.BackDoor.Xudp.3 と名付けられました。

感染は、Dr.WebによってLinux.Downloader.77として検出されるELFファイルによって開始されます。このアプリケーションは元々、特定のアドレスに対してUDPパケットを送信するために設計されたもので、 Linux.Downloader.77 はそのトロイの木馬化されたバージョンになります。被害者はこのユーティリティを自身でダウンロードし、起動させています。起動した Linux.Downloader.77 は、その動作に必要なルート権限を要求します。このようなフラッド攻撃プログラムは多くの場合、別の危険なアプリケーションをインターネットからダウンロードするなど、隠れた動作を実行する追加の機能を備えています。 Linux.Downloader.77 も例外ではありません。

システムに対するルートアクセスを取得すると、 Linux.Downloader.77 は別のスクリプトである Linux.Downloader.116 をサーバーからダウンロードし、起動させます。続けて、このスクリプトがメインのモジュールである Linux.BackDoor.Xudp.1 をダウンロードして/lib/.socket1または/lib/.lovesとして保存し、自動実行スクリプトをrc.localという名前で/etc/フォルダ内に置き、cronジョブスケジューラ内でトロイの木馬の自動実行を有効にします。また、トロイの木馬のインストール中にiptablesユーティリティのコンテンツがクリアされます。

Linux.BackDoor.Xudp.1 は起動されると、正常な動作に必要な、自身の本体内にハードコードされた設定データを復号化し、感染したコンピューターに関する詳細な情報をサーバーへ送信します。次に、3つの個別のスレッドを実行します。1つ目のスレッド内では、バックドアはHTTPプロトコルを使用します。トロイの木馬は自身が起動されたことをサーバーに知らせ、サーバーからは暗号化キー、リクエストの送信先となるサーバーに関する情報、ポート番号が送信されます。続けて、 Linux.BackDoor.Xudp.1 は指定されたサーバーに対して定期的にリクエストを送信し、コマンドを待ちます。この機能はトロイの木馬が自身のアップデートを行う際にも使用されます。受信するコマンドはすべて暗号化されており、トロイの木馬は特別なキーを生成することでそれらを復号化します。

2つ目のスレッド内でも Linux.BackDoor.Xudp.1 は同様にサーバーからのコマンドを待ちますが、使用するプロトコルはUDPです。3つ目のスレッドでは、トロイの木馬は自身がアクティブであることを知らせるため、サーバーに対して特定のデータグラムを定期的に送信します。

Linux.BackDoor.Xudp.1 は指定されたリモートサーバーに対して様々なリクエストを継続的に送信する、DDoS攻撃を実行する、そして任意のコマンドを実行する機能を備えているということがセキュリティリサーチャーによって明らかになりました。また、指定されたIPアドレスの範囲内でポートをスキャン、特定のファイルを実行、あらゆるファイルをサイバー犯罪者に送信するほか、その他様々な機能を実行することができます。新たな亜種が定期的に登場していることから、このトロイの木馬は未だ開発過程にあると考えられます。

Linux.BackDoor.Xudp.2 および Linux.BackDoor.Xudp.3 は Linux.BackDoor.Xudp.1 の改良されたバージョンとなっています。これらトロイの木馬には、システム内に保存される際の名前、サーバーに送信する感染したコンピューターに関する情報の量、実行可能なコマンドの種類に違いが見られます。Dr.Web for Linuxはこれらすべての悪意のあるプログラムを検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。