2024年10月4日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、侵害したLinuxマシン上にマイニング型トロイの木馬Skidmapをインストールするルートキットの新たな亜種を発見しました。このルートキットは、CPU使用率とネットワークアクティビティに関する偽の情報をユーザーに対して提供することで仮想通貨のマイニング活動を隠す、悪意のあるカーネルモジュールとして設計されています。この攻撃は、大規模なサーバーとクラウド環境を備えた(すなわちマイニングの効率が最も高い)企業を主な標的として、無差別に行われているものとみられます。

データベース管理システムRedisは世界で最もポピュラーなNoSQLデータベースであり、Redisサーバーは X(旧Twitter)、AirBnB、Amazonなどの大企業で使用されています。その利点は明らかで、極めて高速なパフォーマンス、小さなメモリフットプリント、さまざまなデータタイプとプログラミング言語のサポートが挙げられます。一方で、欠点もあります。Redisはネットワークエッジで使用されることを意図していないため、デフォルト設定では基本的なセキュリティ機能しかサポートしていません。そのため、バージョン6より前のRedisにはアクセス制御や暗号化メカニズムが備わっていません。また、サイバーセキュリティに関する刊行物やレポートでは、毎年Redisの脆弱性が多数報告されています。たとえば、2023年には12件の脆弱性が発見され、そのうち3件は「深刻」であると判定されています。サーバーが侵害されてマイニング型トロイの木馬がインストールされるという事例の報告件数が増えるにつれてDoctor Webウイルスラボの興味をひくところとなり、実際に攻撃を受けてみる運びとなりました。そこで、Doctor Webでは保護されていないRedisサーバーを設置して招かれざる客を待ち受けました。サーバーは1年間稼働しており、その間に毎月約10,000～14,000件の攻撃を受けました。そして先ごろ、Doctor Webアナリストの予期していたとおり、このRedisサーバーに対するトロイの木馬SkidMapの亜種による攻撃が確認されました。予想外だったのは、マイニング活動を隠すための新たな手法が用いられていたということと、同時に4つのバックドアがインストールされていたということです。

トロイの木馬Skidmapが初めてニュースになったのは2019年のことでした。このトロイの木馬は特化されており、企業ネットワークを主な標的としています。仮想通貨のステルスマイニングによる最も大きな利益を見込めるのは、企業を攻撃した時であるためです。登場から5年の月日が経っているにもかかわらず、このトロイの木馬の動作原理は現在も同じままです。すなわち、脆弱性を悪用するか、またはソフトウェア設定の不備を突くことでシステム上にインストールされるというものです。Doctor Webによって設置されたハニーポットサーバーのケースでは、ハッカーはシステムスケジューラにタスクを追加し、スクリプトがドロッパー Linux.MulDrop.142 (または別の亜種である Linux.MulDrop.143 )を10分おきにダウンロードしていました。この実行ファイル(ドロッパー)はOSカーネルバージョンをチェックし、SELinuxセキュリティモジュールを無効にしたうえで、システム上でルートキット Linux.Rootkit.400 、マイナー(マイニング型トロイの木馬) Linux.BtcMine.815 、バックドア Linux.BackDoor.Pam.8/9 と Linux.BackDoor.SSH.425/426 を解凍します。このドロッパーの特異な点は、極めてサイズが大きいということです。あらゆるLinuxディストリビューション用に約60もの実行ファイルがパックされているためです。今回のケースでは、ドロッパーにはサーバーで最も多く使用されているDebianとRed Hat Enterprise Linuxディストリビューションのさまざまなバージョンに対応したファイルが含まれていました。

インストールされたルートキットはシステムコールを傍受し、その結果、管理者によって入力された診断コマンドに対する応答として偽の情報を生成できるようになります。傍受される機能には、平均CPU使用率、複数のポート上でのネットワークアクティビティ、ディレクトリ内のファイルリストなどの報告が含まれています。また、ルートキットはカーネルモジュールがロードされる際にそれらをすべてチェックし、自身を検出できるモジュールが実行されるのを防ぎます。これにより、仮想通貨のマイニングが行われていることを示唆するあらゆるサイン(計算処理、ハッシュの送信、ジョブの受信)を完全に隠すことが可能です。

この攻撃で同じくドロッパーによってインストールされていた4つのバックドアの目的は、侵害されたマシンからSSH認証情報を収集して攻撃者に送信し、システム上のすべてのアカウントに対するマスターパスワードを作成することです。ここで注目したいのは、パスワードはすべて、オフセットが4文字の(4文字ずらす)シーザー暗号を使用してさらに暗号化されているということです。

侵害したシステムの制御をよりしっかりと掌握するために、攻撃者はリモートアクセス型トロイの木馬 Linux.BackDoor.RCTL.2 をインストールしています。これにより、トロイの木馬自身が開始する暗号化された接続を介して、感染したマシンにコマンドを送信したりデータを窃取したりすることが可能になり、ルーティングの問題を回避できます。

xmrigプログラムは、いくつかの仮想通貨をマイニングすることができるマイナーとしてインストールされます。それら仮想通貨の中で最も有名なのが、取引における完全な匿名性によってダークネット上で人気を得ているMoneroです。サーバークラスタ内に潜む、ルートキットによって隠蔽されたマイナーを検出するのは決して容易ではありません。診断データが偽装されている場合、侵害を示唆する兆候は電力消費量と発熱量の増加だけです。ところが、マイニングパフォーマンスとハードウェアパフォーマンス保持との間の最適なバランスをとるようマイナーの設定を調整することで、攻撃者はそれらの兆候すらもほとんど現れないようにすることが可能です。こうして、システムの侵害がユーザーの注意を引かないようにします。

このように、ますます複雑化する攻撃チェーン(起動されたプログラムが相互に呼び出し、セキュリティシステムを無効にし、多数のシステムユーティリティやサービスを妨害し、ルートキットをダウンロードするなど)から、Skidmapマルウェアファミリーの進化がうかがえます。このことが、このようなインシデントへの対応をより一層困難なものにしています。

Indicators of compromise(侵害の痕跡) ※英語

Linux.MulDrop.142の詳細 ※英語

Linux.MulDrop.143の詳細 ※英語

Linux.MulDrop.144の詳細 ※英語

Linux.Rootkit.400の詳細 ※英語