Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、自己拡散機能を持ちP2Pボットネットを構築するLinux向けトロイの木馬を発見

2016年8月19日

株式会社Doctor Web Pacific


Linuxは依然としてウイルス開発者の主要な標的となっています。この度、プログラミング言語Goで書かれた、Linuxを標的とするまた別のトロイの木馬がDoctor Webセキュリティリサーチャーによって分析されました。このトロイの木馬は様々なCMSを使用するWebサーバーを攻撃し、DDoS攻撃を実行、スパムメッセージを配信し、さらにネットワークを通じて自身を拡散します。

Linux.Rex.1と名付けられたこの新たなトロイの木馬はKernelmodeフォーラムのユーザーによって初めて発見され、Drupalを使用して作成されたWebサイトを攻撃の対象とすることから「Drupalランサムウェア」と呼ばれていました。しかしながら、このトロイの木馬の持つ機能はそれだけに留まらないということがDoctor Webスペシャリストによって明らかになりました。

screen #drweb

今日のボットネットは2つの種類に分類することができます。1つ目はC&Cサーバーを使用してコマンドを受け取るタイプのボットネットです。2つ目は感染した1台のシステムから別の感染したシステムへと情報を直接送信するボットネットで、これらはピアツーピア(P2P)ボットネットと呼ばれています。 Linux.Rex.1 は感染した別のコンピューターとデータを共有するためのプロトコルを使用することで、P2Pボットネットを作成することができます。トロイの木馬が起動されると、感染したコンピューターは、そのネットワークのノードの1つとして動作するようになります。

Linux.Rex.1 はHTTPSプロトコル経由で指令を受け取り、必要に応じてそれらを他のボットネットノードへ送信します。このトロイの木馬は、サイバー犯罪者からのコマンドに従って、指定されたIPアドレスに対するDDoS攻撃を開始・停止することができます。また、特殊なモジュールを使用してネットワークをスキャンし、Drupal、Wordpress、Magento、JetSpeedなどのCMSを使用して管理されるWebサイトを探します。さらに、AirOSを搭載したネットワークハードウェアを探し出し、既知の脆弱性を悪用することで、リモートサーバー上に保存されたユーザーリスト、SSH公開鍵、ログイン認証情報を取得することができますが、これらの情報については入手に失敗する場合もあります。

screen #drweb

そのほか、Linux.Rex.1 はWebサイトの所有者に対してスパムメールを送信し、サーバーに対してDDoS攻撃を行うと脅す機能を備えています。メールの送信先が間違っていた場合、サイバー犯罪者は、受け取ったメールをWebサイト所有者にリダイレクトするようそれらの受信者に対して要求します。DDoS攻撃を回避するために、被害者は暗号通貨Bitcoinで身代金を支払わなくてはなりません。

Linux.Rex.1 はDrupalを使用して作成されたWebサイトをハッキングするために既知の脆弱性を悪用します。SQLインジェクションを実行した後、システム内に自身をログインさせ、ハッキングに成功すると、自身のコピーをサイト内にロードして起動させます。こうして、 Linux.Rex.1 は自身を複製し、ユーザーの介入なしに拡散されます。

Linux.Rex.1 はWebサイト所有者やLinuxユーザーにとって深刻な脅威となっています。Dr.Web for Linuxのデータベースには Linux.Rex.1 のシグネチャが既に追加されており、Doctor Webのアンチウイルス製品はこのトロイの木馬を検出・削除することができます。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F