Pan-chan
Pan-chanはピアツーピアボットネットです。
ファイルレスでマイニングします。
こんな感じです。
- SSHで拡散
SSH辞書攻撃やSSHキーの取得などによって、横展開します。 - 同時並行処理の実施
Go言語の新しいバージョンを使って開発されています。
言語の持つ同時実行機能を有効に活用し、高速に並列で拡散処理を実行します。 - ファイルレスマイニング
Pan-chanはクリプトマイナーをメモリマップトファイルとしてドロップします。 - プロセスモニタリング対応
プロセスがモニタリングされていることを検出するとクリプトマイナープロセスを強制終了させる機能が実装されています。 - プロセス停止機能の回避
終了シグナルを無視する機能が実装されています。
SIGTERMとSIGINTを受信してもそれらを無視します。
しかしなぜかSIGKILLは対処されていませんのでSIGKILLでマルウェアプロセスを停止することは可能です。 - 永続化
マイナー部分はファイルレスで操作しますが、マルウェア部分は通常のファイルになっています。
そしてそのマルウェア部分は/bin/systemd-workerという名称で配置され、通常のsystemdのサービスとして永続化設定がされます。
いかにもありそうなサービス名ですが、これはマルウェアの永続化です。 - 逆アセンブルが困難
Pan-chanの作者は最新のGo言語コンパイラを使ってマルウェアを作っています。
最新のGo言語コンパイラでは内部データ構造にいくつかの変更が加えられたため、以前のバージョンで利用することのできていたオンラインツールもIDA逆アセンブラもマルウェアを正しく解析できませんでした。 - 標的の地域
標的は広い地域に広がっています。
アジアと北米が多めに見える感染状況です。 - 組み込まれた管理機能
これまでよく観測されているボットネットでは設定は管理サーバで行われ設定値が各マルウェアに配布されるという形式でした。
このマルウェアでは管理機能はマルウェアに組み込まれていて実施された設定はピアツーピアで拡散していきます。
ちなみに、この管理機能のユーザーインターフェースは日本語で表示されます。
「なんちゃらminer有効にするか(Y/N)?」とか、「なんちゃら最適化モードを使いますか(Y/N)?」とかいうインターフェースです。
だからなんだということではないのですが、管理機能に表示されるアスキーアートの様子からしても、どう考えても作者は日本人のように思えます。
マルウェアというと気持ちのどこかで自分とは関係のない遠い国の出来事に思える部分があったのですが、こういうものをみるとなんだか現実に引き戻されるような気持になりました。
参考記事(外部リンク):Panchan’s Mining Rig: New Golang Peer-to-Peer Botnet Says
“Hi!”
www.akamai.com/blog/security/new-p2p-botnet-panchan
