Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

米Akamai、Linux上のIptabLesおよびIptabLex感染とDDoS攻撃について警告

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2014/09/05 12:26

 米Akamai Technologiesは、同社のProlexic Security Engineering & Research Team(PLXsert)を通じて、新しいサイバーセキュリティThreat Advisory(脅威アドバイザリ)を、9月3日(現地時間)に発行した。このアドバイザリでは、Linuxシステム上でのIptabLesおよびIptabLex感染への高いリスクをともなう脅威について警告を発している。

 同社は、2014年における最大のDDoS攻撃作戦の1つが、Linuxシステム上のIptabLesおよびIptabLexマルウェア感染に起因するものだと突き止めており、悪意ある攻撃者が、パッチの当たっていないLinuxソフトウェアの既知の脆弱性を利用して、DDoS攻撃を仕掛ける可能性を指摘する。

 IptabLesおよびIptabLexの大量感染では、攻撃者が、Apache StrutsやTomcat、Elasticsearchなどの脆弱性を悪用してLinuxベースのWebサーバへの侵入を行っており、侵入後はLinuxの脆弱性を利用してアクセス権を入手し、権限を昇格してマシンのリモート制御を可能にした後に、システム上で悪質なコードを実行させる。結果、システムをDDoSボットネットの一部として、リモートから制御できるようにされてしまった。

 感染後は、/bootディレクトリ内に.IptabLesまたは.IptabLexという名前のペイロードが作成され、これらのスクリプトファイルはリブート時に.IptabLesバイナリを実行する。このマルウェアは自己アップデート機能を備えており、感染したシステムはリモートホストに接続してファイルのダウンロードを行う。

 現在、IptabLesとIptabLexのコマンドとコントロールセンター(C2、CC)はアジアにあり、感染したシステムは当初アジアに存在していたが、近年では米国やその他の地域のサーバにも感染例が見られる。

 IptabLesやIptabLexへの感染の検出と防止には、Linuxサーバへのパッチ適用とウイルス検出ソフトが必要で、PLXsertでは感染したシステムからマルウェアを駆除するためのbashコマンドを、同アドバイザリにて提供している。

 感染したボットを制御するDDoS攻撃者の標的となった企業には、速度制限を含むDDoSミティゲーション手法が有効となる。さらに、PLXsertでは、攻撃に使用されたELF IptabLesペイロードを識別するためのYARAルールを、同アドバイザリにて提供している。

 また、Akamaiは、IptabLesおよびIptabLexボットネットによる大規模なDDoS攻撃を止めるための、DDoSミティゲーションソリューションを提供する。

 PLXsertは、このDDoSボットネットがさらに蔓延・拡大すると予想しており、引き続き警戒を促している。


【関連リンク】
アカマイ・テクノロジーズ
Threat Advisory「IptabLes and IptabLex DDoS Bots [High Risk]」(英語)

  • LINEで送る
  • このエントリーをはてなブックマークに追加

おすすめ記事

All contents copyright © 2006-2016 Shoeisha Co., Ltd. All rights reserved. ver.1.5