2016年8月8日

株式会社Doctor Web Pacific

Doctor Webアナリストは、感染させたコンピューター上で仮想通貨のマイニングプログラムを起動させる新たなLinux向けトロイの木馬を発見し、その分析を行いました。このトロイの木馬の主な特徴は、Googleによって開発されたGo言語で書かれているという点にあります。

Linux.Lady.1 と名付けられたこのトロイの木馬は限られた動作のみを実行します。それらは、感染させたコンピューターの外部IPアドレスを特定する、他のコンピューターに対する攻撃を行う、仮想通貨マイニングソフトウェアをダウンロード・起動させるというものです。 Linux.Lady.1 はGoogleによって開発されたプログラミング言語であるGo言語で書かれています。同言語で書かれた悪意のあるプログラムは、これまでにもDoctor Webセキュリティ・リサーチャーによって発見されていますが、その数はさほど多くありません。 Linux.Lady.1 の構造には、非常に人気の高い共有アプリケーション開発サービスであるGitHub上で公開されている複数のライブラリが使用されています。

起動されると、 Linux.Lady.1 は現在のLinuxバージョンとそのOSファミリー名、CPU数、動作中のプロセス名および数、などの情報をC&Cサーバーへ送信します。応答として、トロイの木馬は仮想通貨のマイニングプログラムをダウンロード・起動させるために必要な設定ファイルを受け取ります。こうして取得した通貨はサイバー犯罪者のイーウォレットへと転送されます。

また、Linux.Lady.1 は設定ファイル内で指定された特別なWebサイトを使用することで感染したコンピューターの外部IPアドレスを特定し、ネットワーク内にある他のコンピューターに対して攻撃を行うことができます。このトロイの木馬は、システムが誤って設定されている場合を考慮し、Redis（remote dictionary server）データ構造ストアによって使用されるポートを経由して、パスワードを入力せずにリモートサーバーへの接続を試みます。接続が確立されると、 Linux.DownLoader.196 と名付けられたダウンローダスクリプトをcronスケジューラに追加します。次に、このスクリプトが Linux.Lady.1 のコピーをダウンロードし、それを感染したホスト上にインストールします。続けてトロイの木馬は、SSHプロトコル経由でコンピューターに接続するためのキーを、認証されたキーの一覧に加えます。

Dr.Web for Linuxは Linux.Lady.1 および Linux.DownLoader.196 を検出・削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。