米Akamai Technologiesは、同社のProlexic Security Engineering & Research Team(PLXsert)を通じて、新しいサイバーセキュリティThreat Advisory(脅威アドバイザリ)を、9月3日(現地時間)に発行した。このアドバイザリでは、Linuxシステム上でのIptabLesおよびIptabLex感染への高いリスクをともなう脅威について警告を発している。
同社は、2014年における最大のDDoS攻撃作戦の1つが、Linuxシステム上のIptabLesおよびIptabLexマルウェア感染に起因するものだと突き止めており、悪意ある攻撃者が、パッチの当たっていないLinuxソフトウェアの既知の脆弱性を利用して、DDoS攻撃を仕掛ける可能性を指摘する。
IptabLesおよびIptabLexの大量感染では、攻撃者が、Apache StrutsやTomcat、Elasticsearchなどの脆弱性を悪用してLinuxベースのWebサーバへの侵入を行っており、侵入後はLinuxの脆弱性を利用してアクセス権を入手し、権限を昇格してマシンのリモート制御を可能にした後に、システム上で悪質なコードを実行させる。結果、システムをDDoSボットネットの一部として、リモートから制御できるようにされてしまった。
感染後は、/bootディレクトリ内に.IptabLesまたは.IptabLexという名前のペイロードが作成され、これらのスクリプトファイルはリブート時に.IptabLesバイナリを実行する。このマルウェアは自己アップデート機能を備えており、感染したシステムはリモートホストに接続してファイルのダウンロードを行う。
現在、IptabLesとIptabLexのコマンドとコントロールセンター(C2、CC)はアジアにあり、感染したシステムは当初アジアに存在していたが、近年では米国やその他の地域のサーバにも感染例が見られる。
IptabLesやIptabLexへの感染の検出と防止には、Linuxサーバへのパッチ適用とウイルス検出ソフトが必要で、PLXsertでは感染したシステムからマルウェアを駆除するためのbashコマンドを、同アドバイザリにて提供している。
感染したボットを制御するDDoS攻撃者の標的となった企業には、速度制限を含むDDoSミティゲーション手法が有効となる。さらに、PLXsertでは、攻撃に使用されたELF IptabLesペイロードを識別するためのYARAルールを、同アドバイザリにて提供している。
また、Akamaiは、IptabLesおよびIptabLexボットネットによる大規模なDDoS攻撃を止めるための、DDoSミティゲーションソリューションを提供する。
PLXsertは、このDDoSボットネットがさらに蔓延・拡大すると予想しており、引き続き警戒を促している。
【関連リンク】
・アカマイ・テクノロジーズ
・Threat Advisory「IptabLes and IptabLex DDoS Bots [High Risk]」(英語)
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
