Akamai、不正侵入されたLinuxマシンによるXOR DDoSボットネットに関する脅威アドバイザリを発行

NO BUDGET 2015年10月02日 07時00分

  • このエントリーをはてなブックマークに追加

 コンテンツデリバリネットワーク(CDN)サービス最大手の米Akamai Technologiesは9月29日、同社のSecurity Intelligence Response Team(SIRT)を通して、新たな脅威に関するアドバイザリを発行した。

 それによると、攻撃者はXOR DDoS(Linuxシステムの乗っ取りに使用する、トロイの木馬型マルウェア)を利用して、毎秒(Gbps)150ギガビット超の分散型サービス拒否(DDoS)攻撃が可能なボットネットを開発しているという。同社日本法人が9月30日、抄訳で伝えた。

XOR DDoSボットネットは増殖を続け、現在では150Gbpsを超える大規模DDoS攻撃が可能に

 XOR DDoSとは、Linuxシステムを感染させるトロイの木馬型マルウェアで、感染すると攻撃者は遠隔操作により、DDoS攻撃を開始するようLinuxシステムに指示を送る。最初に攻撃者は総当たり攻撃でLinuxシステムに侵入し、Linuxマシンのセキュアシェル(SSH)サービスのパスワードを探し出す。一度ログインすると、攻撃者はルート特権でBashシェルスクリプトを作動させ、悪意あるバイナリをダウンロードして実行する。

 アカマイのSIRTによる研究では、このXOR DDoSボットネットによるDDoS攻撃の帯域幅が、わずか数Gbpsから非常に大規模な攻撃となる150Gbps超にわたることが判明した。ゲーム業界が最も標的とされやすく、次に教育機関が標的になっているという。ボットネットは1日に最大20件の標的を攻撃し、うち90%がアジア地域を攻撃している。

 なお、アドバイザリ本文では、アカマイが軽減したXOR DDoSボットネットによるDDoS攻撃のうち、8月22、23日に記録した例のいくつかを解説している。中には179Gbps近いものや、約109Gbpsの攻撃も確認されているという。

 攻撃ベクトルはSYNフラッドとDNSフラッドの2種類が観測され、ボットのIPアドレスが偽装されることもあるが毎回ではなく、アカマイの顧客が被害に遭ったDDoS攻撃では、なりすましと非なりすましを混合した攻撃トラフィックが確認されている。

 なお、生成された偽装IPアドレスでは、感染したホストと同一の「/24」または「/16」のアドレス空間のIPアドレスに見せかけている。偽装策ではIPアドレスの第3、第4オクテットしか改ざんされないが、Unicast Reverse Path Forwarding(uRPF)で保護されているネットワーク上で、インターネットサービスプロバイダ(ISP)がなりすましトラフィックをブロックしないように、この偽装策が利用されている。

XOR DDoS攻撃の軽減策、および検出・削除手法について

 まず、XOR DDoS攻撃を軽減する手法としては、ペイロードシグネチャが役立つという。既にイニシャルTTL値、TCPウィンドウサイズ、TCPヘッダオプション等、識別可能な静特性が確認されており、同アドバイザリから入手できる。さらに、このボットネットで生成されるSYNフラッドの攻撃トラフィックに合わせた、tcpdumpフィルタも提供されている。

 XOR DDoSの存在は、2種類の方法で検出できる。ネットワーク内でこのボットネットを検出するには、アドバイザリに掲載されたSnortルールを基に、ボットとそのC2(Command and Control)との間の通信を探す。なお、アドバイザリには、Linuxのホスト上で同マルウェアに感染しているか、検出するためにバイナリで観測された文字列をパターン照合するYARAルールも含まれている。

 XOR DDoSは執拗なマルウェアで、悪意あるファイルを削除しても再インストールされるようなプロセスを実行しているため、XOR DDoSマルウェアを削除するには、以下の4段階の手順が必要になる。

  • 2つのディレクトリ内の、悪意あるファイルを特定する
  • メインプロセスの持続を促進しているプロセスを特定する
  • 悪意あるプロセスを終了(Kill)する
  • 悪意あるファイルを削除する

 アドバイザリでは、こうした作業の際のスクリプト例もいくつか提示されている。

 Akamaiのセキュリティビジネス部門シニア・バイスプレジデント兼ゼネラルマネージャー、Stuart Scholly氏は、以下のようにコメントしている。

 「この1年でXOR DDoSボットネットは増殖し、現在は巨大なDDoS攻撃ができるようになっています。XOR DDoSは、攻撃者がフォーカスを切り替えて、不正侵入したLinuxシステムでボットネットを構築し、DDoS攻撃を開始した例です。かつてはWindowsマシンがDDoSマルウェアの標的でしたが、そのころに比べても、現在のこの事象の方が頻繁に発生しています」

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]