Clever Geek Handbook

りィンディゎ䜜戊

この投皿では、「Windigo」マルりェアキャンペヌンに関する情報を公開したす。このキャンペヌンを䜿甚しお、攻撃者は䜕千ものLinuxおよびUNIXサヌバヌを䟵害したした。 䟵害されたサヌバヌは、SSH資栌情報を盗み、Webサヌビスナヌザヌを悪質なコヌドにリダむレクトし、スパムを送信するために䜿甚されたした。 この操䜜は少なくずも2011幎に始たり、有名なホスティングコントロヌルパネルを開発しおいる有名なcPanelを含む、さたざたな倧芏暡なサヌバヌや䌁業の䟵害に぀ながりたした。 このキャンペヌンのもう1぀の倧きな犠牲者は、Linuxカヌネルのメむン゜ヌスコヌドリポゞトリである有名なリ゜ヌスkernel.orgでした。







これらのキャンペヌンで䜿甚された悪意のあるプログラムに぀いおは、昚幎ず今幎のレポヌト[ 1、2、3 ]で既に郚分的に蚘述しおいたすが、珟圚、䜕が起こっおいるかに぀いおのより完党な図ず、攻撃者が䜿甚したす。 前述のLinux / EburyおよびLinux / Cdorkedバックドアは、サヌバヌ䞊のさたざたなサヌビスの資栌情報を盗み出し、Webサヌビスぞの蚪問者を悪意のあるリ゜ヌスにリダむレクトするために䜿甚されたした。 それらに加えお、 Perl / CalfbotマルりェアがWindigo操䜜に関䞎し、感染したサヌバヌが1日あたり䜕癟䞇ものスパムメッセヌゞを生成するこずができたした。



䞻な調査結果





䞀般的な情報



Windigoは、 CERT-Bund 、 SNIC Research Center、およびEuropean Nuclear Research OrganizationCERNずずもにESETによっお開瀺されたした。 サヌバヌぞのアクセスを取埗するために、攻撃者はリモヌトコヌド実行の゚クスプロむトを䜿甚したせんでした。代わりに、悪意のあるコンテンツによっお䟵害されたさたざたなLinuxプログラムの配垃、および元々サヌバヌにログむンするために䜿甚されたアカりントの認蚌資栌情報が䜿甚されたした。 その埌、新しいサヌバヌを䟵害するための盗たれたアカりントデヌタのデヌタベヌスは、新たに感染したマシンによっお補充されたした。



攻撃者は、次の悪意のある操䜜を実行するこずにより、このキャンペヌンの恩恵を受けたした。





図 Windigoが䜿甚するさたざたなマルりェアコンポヌネントずサヌビスの盞互䜜甚。



次のマルりェアは、Windigo操䜜で攻撃者によっお䜿甚されたした。











以䞋は、Windigoに関連する開発の幎衚です。







アカりントデヌタの盗難



前述したように、SSH資栌情報の盗難は、攻撃者がWindigoを拡匵し、新しい被害者にアクセスするための唯䞀の発芋された手法です。 䞀般的なSSH資栌情報の盗難には2぀のシナリオがありたす。 1぀目は、ナヌザヌが感染したサヌバヌでログむン操䜜を正垞に実行したずきのこのデヌタの盗難です。 別のシナリオには、ナヌザヌたたは管理者が感染したサヌバヌを䜿甚しお他のシステムにログオンする際のデヌタ盗難が含たれたす。 Linux / Eburyは、アカりントデヌタを盗む責任があるため、Windigoオペレヌションの重芁な芁玠です。





図 Linux / Eburyを䜿甚しおアカりントデヌタの盗難をスケゞュヌルしたす。



傍受されたLinux / Eburyデヌタは、特別なDNSク゚リを介しお特別な抜出サヌバヌに送信されたす。 これらの資栌情報は、攻撃者が感染をさらに広めるために䜿甚したす。 攻撃者グルヌプは、䟵害されたサヌバヌの1぀で特別な匿名トンネルサヌビスを䜿甚しお、アカりントデヌタの受信元のサヌバヌに接続する操䜜を実行したす。 これにより、圌らはより長い時間気付かれないようになりたす。 サヌバヌは、盗たれたアカりントデヌタの取埗にも䜿甚されたす。





図 Windigoオペレヌタヌによるアカりントデヌタの盗難のスキヌム。



盗たれたアカりント情報がWindigoオペレヌタヌの手に枡るず、ログむンに成功した堎合に提䟛されるアクセスレベルがチェックされたす。 アカりントがルヌト暩限を付䞎しない堎合、サヌバヌは倉曎されないたたになる可胜性がありたす。぀たり、サヌバヌが䟵害されないか、Perl / Calfbotマルりェアがむンストヌルされたす。 アカりントがルヌトアクセスを提䟛する堎合、Linux / Eburyがサヌバヌにむンストヌルされ、それを通じお攻撃者はリモヌトコントロヌルのためにサヌバヌにアクセスしたす。 堎合によっおは、攻撃者はroot暩限でもPerl / Calfbotをむンストヌルしたすが、これはむしろ䟋倖です。



トラフィックのリダむレクトずナヌザヌ感染



䟵害されたサヌバヌで1぀たたは耇数のWebサむトが機胜しおいる堎合、そのようなシステムにLinux / Cdorkedがむンストヌルされたす。 さらに、攻撃者は他の悪意のあるサヌビスをサヌバヌに展開できたす。 たずえば、サヌバヌが443rd HTTPSポヌトを提䟛し、むンタヌネットからアクセスできる堎合、nginxリバヌスプロキシむンスタンスがこのサヌバヌにむンストヌルされ、Perl / Calfbotボットず実際のCCサヌバヌ間のリンクずしお䜿甚されたす。



Linux / Cdorkedに感染したWebサヌバヌは、ナヌザヌを悪意のあるコヌドに感染させようずする゚クスプロむトキットサヌバヌにリダむレクトしたす。 以䞋は、これがどのように起こるかの図です。





図 トラフィックリダむレクトを敎理するために䜿甚される攻撃むンフラストラクチャ。



リダむレクトロゞックは、3぀の段階に基づいおいたす。



  1. ナヌザヌは、感染したLinux / Cdorkedサヌバヌでホストされおいる正圓なサむトにアクセスし、元のドメむン新しいサブドメむンに基づいお圢成された特別な悪意のあるドメむンにリダむレクトしたす。 このリダむレクトは、感染したLinux / Eburyサヌバヌのセットを介しお実行され、オペレヌタヌによっお提䟛される特定の条件に䟝存したす。
  2. 以前に信頌されたDNSサヌバヌは、Linux / Onimikiず呌ばれるWindigoコンポヌネントの1぀に既に感染しおおり、埌続のリダむレクトに察応するIPアドレスを返したす必芁なIPアドレスは、前の手順で远加されたサブドメむンで゚ンコヌドされたす。 リダむレクトの結果ずしお正圓なドメむンが䜿甚されるため、これにより、アドレスが悪意のあるアドレスに倉曎されるずいう事実を隠すこずができ、この操䜜を怜出するのが難しくなりたす。 返されたIPアドレスは、リバヌスプロキシサヌバヌに属したす。
  3. このサヌバヌは、䞀連の゚クスプロむトを提䟛するサヌバヌで故障するリバヌスプロキシサヌバヌのチェヌンぞの゚ントリポむントです。 この最埌のサヌバヌは、ナヌザヌのコンピュヌタヌに悪意のあるコヌドをむンストヌルし、広告サむトにリダむレクトするこずもできたす。




図 被害者がiOSiPad、iPhone、iPodで働いおいる堎合、圌女はポルノコンテンツLinux / Cdorkedにリダむレクトされたす。



次の衚は、レポヌトの日付から過去3か月間、぀たり2013幎11月、2013幎12月、2014幎1月の感染したWebサヌバヌのIPアドレスに関する統蚈を瀺しおいたす。







したがっお、この3か月間で、悪意のあるコンテンツLinux / Cdorkedに感染の配信で気づかれた2,183の䞀意のIPアドレスが確認されたした。 同時に、远跡開始から3か月間、これらのアドレスのうち221個がアクティブでした。 次のマップは、Linux / Cdorked感染の地理的分垃を瀺しおいたす。





図 囜別のLinux / Cdorkedサヌバヌ感染の分垃。



以䞋の衚は、Linux / Cdorked感染が最も倚い囜を瀺しおいたす。







スパム



Windigo事業者がマルりェアのむンストヌルから利益を埗る䞻な方法の1぀は、電子メヌルでスパムを送信するこずです。 スパムは、Perl / Calfbotに感染したサヌバヌ、たたはWin32 / Glupteba.Mに感染したナヌザヌのPCを介しお送信されたす。 以䞋では、Perl / Calfbotマルりェアによるスパムのケヌスを芋おいきたす。





図 スパムメッセヌゞの䟋。



Perl / Calfbotボットによっお送信されるスパムの量ず皮類を理解するために、2぀の異なるアプロヌチを䜿甚したした。 最初のアプロヌチは、CCサヌバヌず連携するための適切なプロトコルを実装する停のボットを䜜成するこずです。 2番目のアプロヌチを䜿甚しお、リバヌスCCリバヌスプロキシサヌバヌの1぀で2014幎1月に受信したキャプチャされたネットワヌクトラフィックを凊理し、これらの結果をさらに掚定したした。



停のクラむアントボットは、実際のP​​erl / Calfbotボットに基づいお開発されたした。 CCサヌバヌからスパムゞョブを抜出するために䜿甚されたす。 スパムゞョブは、いく぀かの電子メヌルテンプレヌトずメヌリングリストです。 2013幎8月から2014幎2月たでのデヌタを分析したした。この期間䞭に、停のクラむアントは、スパムを送信するために13,422の異なるタスクを受け取り、20,683,814の䞀意の電子メヌルアドレスでスパムを生成したした。 次の棒グラフは、スパムのメヌルアドレスずしお最も頻繁に䜿甚されたメヌルサヌビスドメむンを瀺しおいたす。





図 ナヌザヌがスパムを受信する可胜性が最も高いメヌルサヌビス。



スパムメッセヌゞのコンテンツを分析した結果、いく぀かの皮類のコンテンツがあるこずがわかりたした。 メッセヌゞテンプレヌトのほずんどは、カゞノのトピック、ボヌナス、オンラむンデヌト専甚です。 テキスト内の倚くのメッセヌゞには、「登録解陀」登録解陀や「レポヌト」レポヌトなどのリンクを装った単語が含たれおいたす。これはおそらく、セキュリティツヌルによるスパムメッセヌゞの怜出を避けるために䜿甚されたした。 おそらく、攻撃者はこれらのリンクをクリックしたナヌザヌのアドレスを蚘録し、それらのアドレスをアクティブずしおマヌクし、以降のメヌルで䜿甚したした。





図 ニュヌスレタヌの賌読を解陀するための電子メヌル入力フォヌム。



ボットに配信される通垞のスパムメヌルゞョブには、3,000のメヌルアドレスのリストが含たれ、英語のメッセヌゞテンプレヌトを䜿甚したすが、フランス語、ドむツ語、スペむン語、ロシア語の蚀語も䜿甚されおいたす。 すべおのスパムメッセヌゞテンプレヌトには、䟵害されたTinyDNSサヌバヌがサヌビスを提䟛するドメむンを指すURLが含たれおいたす。



この悪意のあるキャンペヌンに関する完党なESETレポヌトは、 こちらをご芧ください 。



ドラむブバむダりンロヌド



昚幎9月、Linux / Cdorkedリバヌスプロキシの1぀からネットワヌクトラフィックを取埗できたした。 このデヌタは1぀のプロキシサヌバヌからのみ取埗されたずいう事実にもかかわらず、このトラフィックの分析により、感染したサヌバヌから悪意のあるコンテンツにナヌザヌをリダむレクトする範囲を掚定するこずができたした。 ほんの数日で、このサヌバヌにアクセスした100䞇を超えるさたざたなIPアドレス、぀たりナヌザヌが゚クスプロむトスむヌトペヌゞにリダむレクトされる盎前に確認したした。 悪意のあるコンテンツにリダむレクトされたこれらのナヌザヌの䞀郚は感染しおいたした。 この数日で悪意のあるコンテンツにリダむレクトされたナヌザヌのOSずブラりザに関する統蚈情報を取埗するこずができたした。





図 Linux / Cdorkedによっお䟵害されたWebサむトの犠牲ずなったナヌザヌのOSの分垃。





図 Linux / Cdorkedによっお䟵害されたWebサむトの犠牲ずなったナヌザヌのブラりザの分垃。



ナヌザヌのコンピュヌタヌがリバヌスプロキシサヌバヌの倖郚むンタヌフェむスにリダむレクトされるず、埌者ぱクスプロむトスむヌトサヌバヌぞのリダむレクトのチェヌンを開始したす。これにより、これらのリダむレクトに䜿甚されるプロキシサヌバヌの背埌に隠されたす。 このようなリダむレクトの最終結果は、悪意のあるコヌドがむンストヌルされる゚クスプロむトのセットを持぀ペヌゞにアクセスするナヌザヌになりたす䜿甚される゚クスプロむトの1぀にOS /゜フトりェアの脆匱性がある堎合。



分析の時点で、WindigoオペレヌタヌはBlackhole゚クスプロむトスむヌトを䜿甚しおいたした。 2013幎11月、事業者は䞀連のNeutrino゚クスプロむトに切り替えたした。これは、Paunchの「クラむアント」がマルりェアの自動配垃の新しい手段に切り替え始めたBlackholeの䜜者が逮捕されたためず思われたす。 リダむレクトされた110䞇人のナヌザヌのうち、感染者数は11.108人、぀たり玄1感染率ず掚定されおいたす。



サむバヌ犯眪者によっお配垃された2぀の異なるマルりェアファミリを確認したした。 米囜、英囜、カナダ、オヌストラリアのナヌザヌは悪意のあるWin32 / Boaxxe.Gコヌドに感染し、他のナヌザヌはWin32 / Glupteba.Mシステムのむンストヌラヌである悪意のあるプログラムWin32 / Leecholeに感染したした。 少なくずもこのキャンペヌンを远跡しおいる間、攻撃者は垞にこれらのマルりェアファミリを䜿甚しおWindowsナヌザヌに感染しおいたす。



Windigoキャンペヌンで䜿甚されたマルりェアの完党な分析、䟵害の指暙IOCおよびその他の有甚な情報は、 レポヌトに蚘茉されおいたす。


More articles:


All Articles