はじめに
新たに確認されたLinuxボットネット「SSHStalker」が、コマンド&コントロール(C2)通信にインターネット・リレー・チャット(IRC)プロトコルを使用していることが明らかになりました。IRCは1988年に開発され、1990年代に全盛期を迎えた旧式の通信プロトコルですが、その実装の簡素さ、相互運用性、低帯域幅要件、そしてGUIが不要である点から、技術コミュニティでは今なお評価されています。
SSHStalkerの概要と特徴
SSHStalkerボットネットは、最新のC2フレームワークを使用する代わりに、古典的なIRCの仕組みに依存しています。具体的には、複数のCベースのボットと、多サーバー/チャネルによる冗長性を活用し、ステルス性や技術的な斬新さよりも、回復力、拡張性、低コストを優先しています。
脅威インテリジェンス企業Flareの研究者によると、このアプローチはSSHStalkerの他の運用特性にも表れています。例えば、
- 騒がしいSSHスキャン
- 1分間隔のcronジョブ
- 15年前の大量のCVE悪用
といった手法が見られます。Flareは「私たちが発見したのは、IRC制御、ホスト上でのバイナリコンパイル、大規模なSSH侵害、cronベースの永続化を組み合わせた、騒々しい寄せ集めのボットネットキットだった。つまり、ステルス性よりも信頼性を重視した、スケール優先の運用だ」と述べています。
感染と伝播のメカニズム
SSHStalkerの初期侵入は、自動化されたSSHスキャンとブルートフォースを通じて行われます。攻撃者は、人気のオープンソースネットワーク検出ユーティリティ「nmap」になりすますGoバイナリを使用します。一度侵害されたホストは、さらなるSSHターゲットをスキャンするために利用され、これはボットネットのワームのような伝播メカニズムを示唆しています。Flareは、1月に約7,000件のボットスキャン結果が記録されたファイルを発見しており、そのほとんどがOracle Cloud Infrastructure内のクラウドホスティングプロバイダーを標的としていました。
マルウェアの機能と永続化
SSHStalkerがホストに感染すると、被害デバイス上でペイロードをコンパイルするためにGCCツールがダウンロードされます。これにより、ポータビリティと回避能力が向上します。最初のペイロードは、ハードコードされたC2サーバーとチャネルを持つCベースのIRCボットで、新しい被害者をボットネットのIRCインフラに登録します。次に、マルウェアは「GS」と「bootbou」というアーカイブを取得し、これらにはオーケストレーションと実行シーケンスのためのボット亜種が含まれています。
永続化は、60秒ごとに実行されるcronジョブによって達成されます。これは、メインのボットプロセスが実行されているかを監視し、終了した場合には再起動するウォッチドッグのような更新メカニズムとして機能します。また、このボットネットは、2009年から2010年頃のLinuxカーネルバージョンを対象とした16のCVEに対するエクスプロイトも含まれており、初期のブルートフォース攻撃によって得られた低権限ユーザーのアクセスから、権限昇格を行うために使用されます。
収益化の手口と現状
収益化に関して、FlareはボットネットがAWSキーの収集とウェブサイトスキャンを実行していることを確認しました。また、高性能なイーサリアムマイナーであるPhoenixMinerなどのクリプトマイニングキットも含まれています。分散型サービス拒否(DDoS)機能も存在しますが、研究者らは今のところ、このような攻撃は観測されていないと指摘しています。実際、SSHStalkerのボットは現在、C2に接続した後、アイドル状態に入っており、テスト段階にあるか、あるいは将来のアクセス蓄積のために温存されている可能性が示唆されています。
FlareはSSHStalkerを特定の脅威グループに帰属させていませんが、Outlaw/Maxlasボットネットエコシステムやルーマニアに関連するさまざまな兆候との類似点を指摘しています。
対策と推奨事項
脅威インテリジェンス企業Flareは、企業に対し、以下の対策を推奨しています。
- 本番サーバーでのコンパイラのインストールと実行に対する監視ソリューションの導入
- IRCスタイルのアウトバウンド接続に対するアラート設定
- 通常とは異なるパスからの短期間で実行されるcronジョブに対する警戒
さらに、具体的な軽減策として、
- SSHパスワード認証の無効化
- 本番イメージからのコンパイラの削除
- Egressフィルタリングの強制
- 「/dev/shm」からの実行の制限
を挙げています。