16進数表記のアドレスからインストールされる ShellBot DDoS マルウェア

AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている Linux SSH サーバーを対象にインストールされている ShellBot マルウェアの配布方式が変更されたことを確認した。全体的なフローは同じだが、攻撃者が ShellBot をインストールする時に使用するダウンロードアドレスが一般的な IP アドレスである代わりに16進数値に変更されたことが特徴である。

• hxxp://0x2763da4e/dred
• hxxp://0x74cc54bd/static/home/dred/dred

1. 過去の URL 検知回避事例

一般的に IP アドレスには「ドット付き10進表記」(Dot-decimal notation)方式が使用され、攻撃者も C&C アドレスやダウンロード、フィッシング URL のアドレスを「hxxp://94.250.254[.]43/」のように使用する。しかし、IP アドレスはこのような「ドット付き10進表記」の以外にも10進数や16進数でも表記でき、一般的に馴染みのある Web ブラウザでもこれをサポートする。

このような点から攻撃者は URL 検知を回避する目的で様々な方式の URL を使用しており、実際過去のフィッシング PDF マルウェア製作時にも10進数アドレスを使用したことがある。フィッシング PDF マルウェアには「hxxp://1593507371」という URL が含まれていたが、これは「ドット付き10進表記」では「hxxp://94.250.254[.]43/」になる。

フィッシング PDF の URL をクリックすると、Web ブラウザが「hxxp://1593507371」アドレスに接続するが、これは実際には「hxxp://94.250.254[.]43/」アドレスに接続した結果と同じである。攻撃者は不正な URL 検知を回避するため、このように10進数方式の IP アドレスを URL として使用しており、ユーザーが接続すると、実際に様々なフィッシングサイトにリダイレクトされた。

2. 過去の ShellBot 攻撃事例

攻撃者は22番ポート、すなわち SSH サービスが動作するシステムをスキャニングした後、SSH サービスが動作しているシステムを探して、その後は頻繁に使用される SSH アカウント情報リストを利用し、辞書攻撃を行う。もし、ログインに成功する場合には様々なマルウェアをインストールできる。

PerlBot とも呼ばれる ShellBot は Perl 言語で開発された DDos Bot マルウェアで、C&C サーバーと IRC プロトコルを利用して通信するのが特徴である。ShellBot は使用され続けている経歴の長いマルウェアであり、最近までも多数の Linux システムを対象とした攻撃に使用されている。ASEC では、過去のブログで ShellBot 攻撃事例を公開しており、[1] 持続的に攻撃元(Attack Source)、ダウンロードと C&C のアドレスを検知および対応している。

最近までも配布されている ShellBot マルウェアの中には「DDoS PBot v2.0」タイプが存在する。これを攻撃に使用する特定の攻撃者はマルウェアのインストール時、持続的に「dred」という名前を使用している。

3. 最新の ShellBot 攻撃事例

2023年9月頃には、同じ攻撃者が過去の「ドット付き10進表記」形態の IP アドレスの代わりに16進数形態の IP アドレスを利用して ShellBot をインストールしていることが確認された。以下は実際に攻撃を実行した攻撃元(Attack Source)のアドレスと、攻撃に使用された ID / Password リストの一部である。

攻撃者はログインに成功した後、以下のコマンドを利用して ShellBot をインストールした。過去の事例に比べると、コマンド自体は同じであるが、IP アドレスに16進数値が使用されたという点だけが異なっている。

16進数表記のアドレス「0x2763da4e」は「39.99.218[.]78」であり、「0x74cc54bd」は「116.204.84[.]189」である。ダウンロードには curl が使用されたが、Web ブラウザ と同じように16進数をサポートするため、Linux システム環境でも正常に ShellBot をダウンロードし、Perl を通して実行させることができる。

4. 結論

不適切に管理されている Linux SSH サーバーを対象に ShellBot マルウェアがインストールされており、最近には振る舞いベースの検知を回避する目的で16進数の IP アドレスを活用した事例が確認される。ShellBot がインストールされる場合、Linux サーバーは攻撃者のコマンドを受け、特定の対象について DDoS 攻撃を実行する DDoS Bot として使用されることがあり、それ以外にも様々なバックドア機能を通して追加マルウェアがインストールされたり、他の攻撃に使用される可能性がある。

そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃から Linux サーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止必要がある。また、外部に公開されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意する必要がある。

ASEC では Linux SSH ハニーポットを活用し、このような攻撃元(Attack Source)のアドレスをリアルタイムで収集しており、確認された攻撃アドレスは AhnLab TIP で提供している。

ファイル検知
– Shellbot/Perl.Generic.S1100 (2020.02.12.00)

IOC
MD5
– 8853bb0aef4a3dfe69b7393ac19ddf7f : ShellBot – 過去
– 7bc4c22b0f34ef28b69d83a23a6c88c5 : ShellBot – 過去
– a92559ddace1f9fa159232c1d72096b2 : ShellBot – 最新

ダウンロードアドレス
– hxxp://39.107.61[.]230/dred : ShellBot (過去)
– hxxp://39.165.53[.]17:8088/iposzz/dred : ShellBot (過去)
– hxxp://39.99.218[.]78/dred : ShellBot – 0x2763da4e (最新)
– hxxp://116.204.84[.]189/static/home/dred/dred : ShellBot – 0x74cc54bd (最新)

C&C アドレス
– 192.3.141[.]163:6667 : ShellBot

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。