Akamai Security Researchは水曜日、アジア、ヨーロッパ、南北アメリカ地域の通信・教育機関のLinuxサーバーを攻撃する新たなボットネットを発見したと発表した。「Panchan」と呼ばれるこのボットネットと仮想通貨マイナーは、2022年3月に日本で初めて出現した。
「異なる学術機関間の連携により、SSHキーがネットワーク間で共有される可能性があると推測しており、これがこの分野がリストのトップにランクされている理由かもしれない」と報告書は述べている。
Panchan は Go プログラミング言語で書かれており、Go の並行性機能を活用して拡散を最大化し、ペイロードを実行します。
「標的への認証に成功すると、マルウェアはルートディレクトリ / の下にランダムな名前の隠しフォルダを作成し、SFTPを使ってその隠しフォルダに自身を xinetd という名前でコピーします」と、Akamaiの研究者であるStiv Kupchik氏は述べています。「その後、マルウェアはコピーしたバイナリを標的マシン上でリモート実行し(nohupを使用)、コマンドライン経由でピアリストを渡します。感染に成功すると、マルウェアはDiscordのWebhookへのHTTPS POST操作を開始します。これは被害者の監視に使用されていると考えられます。」
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Akamai によれば、ほとんどのワームで一般的な基本的な SSH 辞書攻撃に加えて、Panchan は SSH キーを収集して横方向の移動を実行するという点で独特である。
「ほとんどのボットネットが行うようにランダムIPアドレスに対してブルートフォース攻撃や辞書攻撃を行うだけでなく、このマルウェアはid_rsaファイルとknown_hostsファイルも読み取り、既存の認証情報を収集してネットワーク内を横方向に移動するのに利用する」と報告書は述べている。
具体的には、Panchanはホストマシンの実行ユーザーのHOMEディレクトリにあるSSH設定と鍵を参照します。そして、~HOME/.ssh/id_rsaにある秘密鍵を読み取り、それを使って~HOME/.ssh/known_hostsにある任意のIPアドレスへの認証を試みます。
「これは主にクリプトジャッカーなので、それほど危険だとは思いません。しかし、これは独特なものです。P2P通信はマルウェアではそれほど一般的ではなく、SSHキーの収集もかなり斬新なようです」とクプチク氏は述べた。
このボットネットは、マルウェアの有効性と拡散を調査するために Akamai の研究者がリバースエンジニアリングした「godmode」通信および管理パネルも使用します。
「これはおそらくこのマルウェアの最もユニークな機能でしょう」と報告書は述べている。「マルウェアのバイナリに直接組み込まれた管理パネルがあります。これを起動するには、最初のコマンドライン引数として文字列「godmode」(その後にピアリストが続く)をマルウェアに渡す必要があります。」
Panchanは検出を回避し、追跡可能性を低減するため、ディスク上には存在しないメモリマップファイルとして暗号通貨マイナーをダウンロードします。Microsoftによると、メモリマップファイルには仮想メモリ上のファイルの内容が含まれています。Panchanはプロセス監視を検知すると、暗号通貨マイナーのプロセスを強制終了します。
同様の攻撃が増加
「監視対象となった被害者の中で最も多かった業種は教育機関でした。これはパスワード管理の不備が原因かもしれませんし、あるいは窃取したSSHキーを用いたマルウェア特有のラテラルムーブメント能力に関連している可能性もあります。異なる学術機関の研究者は、ビジネス部門の従業員よりも頻繁に共同作業を行うため、組織/ネットワーク外のマシンへの認証に認証情報が必要となる可能性があります」とクプチク氏は述べています。
Nokia の新しいレポートによると、ボットネット DDoS 攻撃が増加しており、阻止するのが難しくなってきている。
コンテンツ配信ネットワーク(CDN)およびビジネスサービスプロバイダーのCloudflareは火曜日、記録上最大のHTTPS DDoS攻撃を阻止したと発表しました。この攻撃では、5,067台のデバイスからなるボットネットから、121か国1,500以上のネットワークに2億1,200万件以上のHTTPSリクエストが発生しました。ピーク時には、ボットは1秒あたり2,600万件以上のリクエストを生成しました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
パンチャンは簡単に止められる
Akamaiによると、Panchanは感染と拡散に独自の手法を用いているものの、簡単に阻止できるという。多要素認証はSSHキーハーベスティングによるリスクを軽減できる。Panchanは拡散に非常に基本的なデフォルトパスワードリストを利用しているが、強力なSSHパスワードを使用することで「その場で阻止できるはずだ」と報告書は述べている。
Kupchik 氏によると、「セグメンテーションとアクセス制御は SSH キー収集のリスクを軽減するのに役立ちますが、MFA も同様に役立ちます。」
Akamai はユーザーに以下も推奨しています:
- 可能な場合はネットワーク セグメンテーションを使用します。
- VMのリソースアクティビティを監視し、ボットネットの兆候がないか確認しましょう。Panchanなどのボットネットは、クリプトジャッキングを最終目的としており、マシンのリソース使用量を異常なレベルまで引き上げる可能性があります。常時監視することで、疑わしいアクティビティを検知し、アラートを発動できます。
Akamai は、感染のテストに使用できる IoC、クエリ、シグネチャ、スクリプトも公開しています。
