コンテンツデリバリネットワーク(CDN)サービス最大手の米Akamai Technologiesは9月29日、同社のSecurity Intelligence Response Team(SIRT)を通して、新たな脅威に関するアドバイザリを発行した。
それによると、攻撃者はXOR DDoS(Linuxシステムの乗っ取りに使用する、トロイの木馬型マルウェア)を利用して、毎秒(Gbps)150ギガビット超の分散型サービス拒否(DDoS)攻撃が可能なボットネットを開発しているという。同社日本法人が9月30日、抄訳で伝えた。
XOR DDoSボットネットは増殖を続け、現在では150Gbpsを超える大規模DDoS攻撃が可能に
XOR DDoSとは、Linuxシステムを感染させるトロイの木馬型マルウェアで、感染すると攻撃者は遠隔操作により、DDoS攻撃を開始するようLinuxシステムに指示を送る。最初に攻撃者は総当たり攻撃でLinuxシステムに侵入し、Linuxマシンのセキュアシェル(SSH)サービスのパスワードを探し出す。一度ログインすると、攻撃者はルート特権でBashシェルスクリプトを作動させ、悪意あるバイナリをダウンロードして実行する。
アカマイのSIRTによる研究では、このXOR DDoSボットネットによるDDoS攻撃の帯域幅が、わずか数Gbpsから非常に大規模な攻撃となる150Gbps超にわたることが判明した。ゲーム業界が最も標的とされやすく、次に教育機関が標的になっているという。ボットネットは1日に最大20件の標的を攻撃し、うち90%がアジア地域を攻撃している。
なお、アドバイザリ本文では、アカマイが軽減したXOR DDoSボットネットによるDDoS攻撃のうち、8月22、23日に記録した例のいくつかを解説している。中には179Gbps近いものや、約109Gbpsの攻撃も確認されているという。
攻撃ベクトルはSYNフラッドとDNSフラッドの2種類が観測され、ボットのIPアドレスが偽装されることもあるが毎回ではなく、アカマイの顧客が被害に遭ったDDoS攻撃では、なりすましと非なりすましを混合した攻撃トラフィックが確認されている。なお、生成された偽装IPアドレスでは、感染したホストと同一の「/24」または「/16」のアドレス空間のIPアドレスに見せかけている。偽装策ではIPアドレスの第3、第4オクテットしか改ざんされないが、Unicast Reverse Path Forwarding(uRPF)で保護されているネットワーク上で、インターネットサービスプロバイダ(ISP)がなりすましトラフィックをブロックしないように、この偽装策が利用されている。
XOR DDoS攻撃の軽減策、および検出・削除手法について
まず、XOR DDoS攻撃を軽減する手法としては、ペイロードシグネチャが役立つという。既にイニシャルTTL値、TCPウィンドウサイズ、TCPヘッダオプション等、識別可能な静特性が確認されており、同アドバイザリから入手できる。さらに、このボットネットで生成されるSYNフラッドの攻撃トラフィックに合わせた、tcpdumpフィルタも提供されている。
XOR DDoSの存在は、2種類の方法で検出できる。ネットワーク内でこのボットネットを検出するには、アドバイザリに掲載されたSnortルールを基に、ボットとそのC2(Command and Control)との間の通信を探す。なお、アドバイザリには、Linuxのホスト上で同マルウェアに感染しているか、検出するためにバイナリで観測された文字列をパターン照合するYARAルールも含まれている。
XOR DDoSは執拗なマルウェアで、悪意あるファイルを削除しても再インストールされるようなプロセスを実行しているため、XOR DDoSマルウェアを削除するには、以下の4段階の手順が必要になる。
- 2つのディレクトリ内の、悪意あるファイルを特定する
- メインプロセスの持続を促進しているプロセスを特定する
- 悪意あるプロセスを終了(Kill)する
- 悪意あるファイルを削除する
アドバイザリでは、こうした作業の際のスクリプト例もいくつか提示されている。
Akamaiのセキュリティビジネス部門シニア・バイスプレジデント兼ゼネラルマネージャー、Stuart Scholly氏は、以下のようにコメントしている。
「この1年でXOR DDoSボットネットは増殖し、現在は巨大なDDoS攻撃ができるようになっています。XOR DDoSは、攻撃者がフォーカスを切り替えて、不正侵入したLinuxシステムでボットネットを構築し、DDoS攻撃を開始した例です。かつてはWindowsマシンがDDoSマルウェアの標的でしたが、そのころに比べても、現在のこの事象の方が頻繁に発生しています」