GoTrimのブルートフォース

ほぼこもセキュリティニュース By Terilogy Worx

GoTrimはGoで書かれたBot型マルウェアです。
2022年9月以降観測されている比較的新しいものです。
これまでに確認されている他のマルウェアとは少し違った動きをすることがわかってきました。

  • 感染先はCMS
    ターゲットはCMS(コンテンツマネジメントシステム)です。
    現時点ではWordPress、Joomla!、OpenCart、DataLife Engineの4種が攻撃対象となります。

     

  • Botからブルートフォース
    自己増殖するタイプのBotネットがよくありますがGoTrimは少し違います。
    GoTrimはC2から渡されたドメイン名と認証情報を使ってBotから他のシステムにブルートフォース攻撃を実施します。
    ログインに成功した場合にだけそのドメイン名と認証情報の情報をC2に返します。

     

  • Botの追加は攻撃者が実施
    Botの動作によって追加の被害者となるシステムのドメイン名と認証情報の情報が集まってきます。
    集まった情報を使って攻撃者はその追加被害者のシステムにダウンローダーとして動作するPHPスクリプトを入れ込みます。
    そして追加被害者のシステムでダウンローダーを動作させ、そこにGoTrimを取得します。
    動作を開始したGoTrimは自分の情報をC2に登録します。
    GoTrimの動作が開始されるとダウンローダーは削除されます。痕跡を少なくするということでしょう。

     

  • C2との暗号化通信
    C2との通信を行いながら侵害活動を実施しますが、その通信は暗号化されています。
    Galois/Counter Modeという暗号化と認証を同時に行うことができる共通鍵暗号方式を使用します。
    すべてのC2との通信はこの暗号化が使用されますので、通信経路上での内容の検出は容易ではありません。

     

  • マルウェアの動作モード
    2つのモードで動作します。
    感染環境にグローバルIPが直接付与されている場合はサーバモードで動作します。
    そうでない場合はクライアントモードで動作します。
    どちらも基本機能は同じですが、サーバモードの場合、攻撃者が任意のタイミングでコマンドを送り付けることができます。
    どちらのモードの場合でもマルウェアはビーコンを送信し、その戻りをコマンドとして解釈して動作します。

     

  • CMS検出機能
    ターゲットのドメインのコンテンツに特定のURLが存在するかという方法でCMSを検出します。
    「wp-content/plugins/」が存在するか、といった具合です。

     

  • 認証情報の調査
    ターゲットのドメインにブルートフォースでログインを試みます。
    ログインできた場合、ログインしたページのコンテンツをパースして管理者権限が獲得できたかを確認します。

     

  • アンチボット機能
    Botの行う通信は64ビットWindows上のMozilla Firefoxからの正当な要求と見えるように工夫されています。
    またいくつかのCAPTCHAに対してはバイパスする機能も持っています。

GoTrimはこれらの機能を悪用し、強い感染力を発揮します。
これに対抗するために、CMSのアカウントに強力なパスワードを使い、CMSを最新の状態に保つ必要があります。
GoTrim以外の脅威の対策にもなりますね。

参考記事(外部リンク):GoTrim: Go-based Botnet Actively Brute Forces WordPress
Websites

www.fortinet.com/blog/threat-research/gotrim-go-based-botnet-actively-brute-forces-wordpress-websites