Abcbot
AbcbotはLinux上のマルウェアです。
クラウドで動作している、弱いパスワードで保護されているか、パッチが適用されていないアプリケーションを実行しているLinuxサーバーを標的として広がっています。
このマルウェアを使用する攻撃者の主たる目的は、マイニングのようです。
次のような活動を展開します。
- パスワード推測、もしくは、脆弱性の悪用で、侵入する
- SELinuxを無効化するbashスクリプトを仕掛ける
SELinuxとは、Security-Enhanced Linux の略です。
Linuxディストリビューションではなく、強制アクセス制御機能を加えるモジュールの名前です。 - 攻撃者のバックドアを仕掛ける
SSHで接続できるように、自分のSSH keyを登録します。 - 侵入先の状況を確認し、自分の都合がよい状態にする
侵入先の機器上に、他のマルウェアの活動があるかを確認します。
他のマルウェアを見つけると、その見つけた他のマルウェアのプロセスを終了します。
侵入先のリソースは全部自分が盗む、ということでしょうか。 - 永続化する
rc.localおよびcronを介して永続性を確立します。
これにより、起動時やなんらかの時間毎に、シェルスクリプトをダウンロードするなどが実行されます。 - SSH keyを間引く
自分が追加した以外のSSH keyを削除します。
これで、他のマルウェア犯罪者は継続的な活動が実施しにくくなります。 - ネットワークアクセスを整える
C&Cと通信するためのルールをiptablesに登録します。
追加のペイロードも送り込むことができるようになります。 - 横展開する
rootユーザのSSHのknown_hostsを発見した場合、そこにあるentryを使って、それらの機器に自分をコピーします。 - いくつかの仕事をする
亜種が確認されるマルウェアは多くあります。
Abcbotでも亜種が複数確認されています。
マイニングするモノ、DDoS攻撃をするモノ、単に他のマルウェアを排除するだけのモノ、などがありそうです。
このマルウェアも、侵入されたら終わりな仕上がりに思えます。
まず侵入されないようにするべきだと感じます。
パスワードに推測しにくいものを使用するとか、そもそもパスワードによる認証をやめるとかを考えるべきかもしれません。
脆弱性対策としてタイムリーにパッチを適用することも必要でしょう。
面倒だとか言っていられない状況になってきています。
参考記事(外部リンク):The Continued Evolution of Abcbot
www.cadosecurity.com/the-continued-evolution-of-abcbot/
