米Akamai、Linux上のIptabLesおよびIptabLex感染とDDoS攻撃について警告

　米Akamai Technologiesは、同社のProlexic Security Engineering & Research Team（PLXsert）を通じて、新しいサイバーセキュリティThreat Advisory（脅威アドバイザリ）を、9月3日（現地時間）に発行した。このアドバイザリでは、Linuxシステム上でのIptabLesおよびIptabLex感染への高いリスクをともなう脅威について警告を発している。

　同社は、2014年における最大のDDoS攻撃作戦の1つが、Linuxシステム上のIptabLesおよびIptabLexマルウェア感染に起因するものだと突き止めており、悪意ある攻撃者が、パッチの当たっていないLinuxソフトウェアの既知の脆弱性を利用して、DDoS攻撃を仕掛ける可能性を指摘する。

　IptabLesおよびIptabLexの大量感染では、攻撃者が、Apache StrutsやTomcat、Elasticsearchなどの脆弱性を悪用してLinuxベースのWebサーバへの侵入を行っており、侵入後はLinuxの脆弱性を利用してアクセス権を入手し、権限を昇格してマシンのリモート制御を可能にした後に、システム上で悪質なコードを実行させる。結果、システムをDDoSボットネットの一部として、リモートから制御できるようにされてしまった。

　感染後は、/bootディレクトリ内に.IptabLesまたは.IptabLexという名前のペイロードが作成され、これらのスクリプトファイルはリブート時に.IptabLesバイナリを実行する。このマルウェアは自己アップデート機能を備えており、感染したシステムはリモートホストに接続してファイルのダウンロードを行う。

　現在、IptabLesとIptabLexのコマンドとコントロールセンター（C2、CC）はアジアにあり、感染したシステムは当初アジアに存在していたが、近年では米国やその他の地域のサーバにも感染例が見られる。

　IptabLesやIptabLexへの感染の検出と防止には、Linuxサーバへのパッチ適用とウイルス検出ソフトが必要で、PLXsertでは感染したシステムからマルウェアを駆除するためのbashコマンドを、同アドバイザリにて提供している。

　感染したボットを制御するDDoS攻撃者の標的となった企業には、速度制限を含むDDoSミティゲーション手法が有効となる。さらに、PLXsertでは、攻撃に使用されたELF IptabLesペイロードを識別するためのYARAルールを、同アドバイザリにて提供している。

　また、Akamaiは、IptabLesおよびIptabLexボットネットによる大規模なDDoS攻撃を止めるための、DDoSミティゲーションソリューションを提供する。

　PLXsertは、このDDoSボットネットがさらに蔓延・拡大すると予想しており、引き続き警戒を促している。

【関連リンク】
・アカマイ・テクノロジーズ
・Threat Advisory「IptabLes and IptabLex DDoS Bots [High Risk]」（英語）