目的不明なRapperBot

ほぼこもセキュリティニュース By Terilogy Worx

RapperBotという新しいマルウェアの活動が観測されています。
こんな活動が観測されています。

  • ssh接続を試みる
    パスワード認証による接続が可能なsshサーバに対して接続を試みます。

     

  • ベースはMirai
    マルウェアを構成するソースコードの一部にMirai由来の部分が確認されています。
    Miraiはtelnetで感染してDDoSを実行することが目的のマルウェアでコードの多くの部分はDDoSのためのコードとなっていますが、RapperBotではDDoS機能部分のコード量は多くありません。

     

  • ブルートフォース
    ベースとなっているMiraiではデフォルトパスワードでの接続を試みるような実装だったのですが、RapperBotはブルートフォースを実施します。
    手当たり次第に試します。

     

  • C2に成功を報告
    ssh接続が成功するとC2にその旨を通信します。

     

  • なくなったペイロードダウンロード機能
    一時期観測されたマルウェアバイナリではリモートからバイナリを取得する機能が実装されていたことが確認されています。
    自己増殖のための機能と考えられています。
    しかしその後その機能は削除され、リモートからバイナリを持ってくる動きは実施しなくなりました。

     

  • 接続可能証明書の入れ替え
    sshdは「~/.ssh/authorized_keys」ファイルを接続可能な証明書情報として使用します。
    RapperBotはこのファイルを含む「~/.ssh」をまるごと削除し、自分の証明書だけが入ったauthorized_keysを用意します。
    これにより、攻撃者は接続できるようになりますが、設定されていた元々の管理者は接続できなくなるでしょう。

     

  • 特権ユーザ自動追加機能
    ある時点から、特権ユーザを定期的に自動追加する機構が実装されました。
    1時間に1回のcronジョブで、管理者権限を持つsuhelperという名前のユーザを追加します。

     

  • 難読化
    初期の実装ではマルウェアの中の文字列はそのまま平文で記述されていました。
    しかしある時点から文字列をばらばらにして配列に入れ、その並びをばらばらにするという難読化手法が実装されました。
    コードを人間が見て並べ替えて解釈すれば難読化されたものを読み取ることができる内容ですが、分析ツールのような道具を使ってこの読み取りを実施することは困難だと考えられます。

     

  • C2が送り込むコマンドはキープアライブ
    感染が完了したマルウェアは自分自身をC2に登録しに行きます。
    C2は登録に来たマルウェアにコマンドを渡して活動させます。
    このコマンドには、DoS開始、DoS停止、DoS停止とクライアント終了、なにもしない、があります。
    コマンド種別はこれだけ用意されているのですが、実際に観測されている指定されたコマンドは、「なにもしない」のみでした。

RapperBotは感染してsshでログインできるようにします。
でもその後は特別な活動は何ら実施していません。
DoSを実行するわけでもありませんし、別の機能を持つマルウェアを送り込んで何かをするということでもありません。
なにかのための準備活動なのかもしれませんが、現時点では目的がわかりません。
逆になんだか怖い感じがします。

しかしこのRapperBotに対する対策は容易に思えます。
そもそもsshでパスワードのブルートフォースをかけてくるものですので、それを対策すれば防げます。
ssh認証のパスワード認証を無効にして証明書認証のみで使うのが安全です。
いろいろな事情で、これが難しい環境も中にはあるのかもしれませんが、可能な範囲で適切な状態に保ちたいものです。
今一度手元の環境の状態を確認してみようと思います。

参考記事(外部リンク):So RapperBot, What Ya Bruting For?
www.fortinet.com/blog/threat-research/rapperbot-malware-discovery