HiveOS を攻撃して Ravencoin を採掘する攻撃事例の解析

AhnLab Security intelligence Center(ASEC)では、多数のハニーポットを利用して不適切に管理されている Linux サーバーを対象とする攻撃をモニタリングしている。代表的なハニーポットの中には、脆弱な資格証明情報を使用する SSH サービスがあり、多数の DDoS およびコインマイナーを利用する攻撃者が、これを対象に攻撃を実行している。

ASEC では外部から流入する多数の攻撃をモニタリングしていたところ、最近 HiveOS を対象とする攻撃事例を確認した。この事例では初期侵入のプロセスで不適切に管理されている SSH サービスを対象としており、最終的に新たな仮想通貨を採掘するコマンドを実行し、LinuxRC バックドアを追加でインストールした。

1. HiveOS

HiveOS は暗号通貨の採掘専用 OS であり、多数のマイニングリグを効率的に管理してモニタリングする目的で使用される。これを利用することで、暗号通貨の採掘作業を自動化して最適化することができる。

他の Linux サーバーと同様、HiveOS を運用しているシステムも管理が不適切である場合、攻撃の対象となることがある。特にリモート管理のために SSH サービスを使用している場合、総当たり攻撃および辞書攻撃の対象となる。HiveOS を対象とする攻撃は数年前から続いているが、主に SSH バックドアアカウントを作成するタイプが大半を占める。しかし、最近では新たなタイプの攻撃が確認された。

2. 初期侵入プロセス

攻撃者は外部に公開されている SSH サービスをスキャンしたあと、総当たり攻撃によってログインを試みた。ログインに成功したあとは以下のコマンドを実行するが、これによって「hive」アカウントを追加し salt を利用して作成したパスワードを指定する。その後、外部から「run」という名前の Bash スクリプトマルウェアをダウンロードして実行する。

3. Bash スクリプト(run)

最初に実行される「run」は、バックドアアカウントを作成し、追加ペイロードをインストールする機能を担う。まず、以下のようなコマンドを利用して「hive」アカウントと「user」アカウントのパスワードを変更する。そして、新たな SSH 公開鍵を「authorized_keys」ファイルに上書きする。

参考に、Linux サーバーに SSH を利用してログインする際はパスワードを入力することもできるが、SSH キーを利用すればパスワードを入力せずともログインが可能である。このために、SSH キーのペア、すなわち公開鍵/秘密鍵を作成してログインする Linux サーバーに SSH 公開鍵をインストールするプロセスが必要となる。Linux サーバーに公開鍵がインストールされると、その後は作成した秘密鍵を利用してクライアントからサーバーにパスワード入力なしでログインが可能となる。すなわち、上記のプロセスによって攻撃者は公開鍵と同時に作成される秘密鍵を利用し、感染システムにログインできるようになる。

その後「autofan」という名前のバックドアマルウェアと、これをサービスとして登録するのに使用する設定ファイルである「autofan.service」ファイルをダウンロードしてサービスに登録する。このほかにも、採掘機能を担当する Bash スクリプトマルウェアである「nvidia-conf」と設定ファイル「overclock.service」をダウンロードし、サービスに登録する。ここまでのプロセスが終了すると、多数のログファイルを削除する。

4. LinuxRC バックドア

「autofan」は LinuxRC バックドアマルウェアであり、開発者「im_bill」が作成したもので、Github にソースコードが公開されている。有名なオープンソースバックドアではないが、関連する攻撃事例を確認した結果、2022年に中国の「360 Netlab」が公開した Spring4Shell 攻撃事例において Mirai と共に使用された履歴が存在する。[1](外部サイト、英語にて提供)

単純な形式のバックドアである LinuxRC は、ファイル照会、ダウンロード/アップロードのほか、コマンド実行およびリバースシェル機能をサポートしている。攻撃者は感染システムに対し SSH を利用した遠隔操作が可能だが、LinuxRC を活用して容易にファイルタスクを含む遠隔操作を実行することもできると思われる。

5. レイヴンコイン(Ravencoin)の採掘

ダウンローダー Bash スクリプトは、LinuxRC 以外にも「nvidia-conf」という名前の別の Bash マルウェアをインストールした。「nvidia-conf」は、以下のように HiveOS のマイナーを GMiner に設定し、攻撃者のウォレットファイルをダウンロードする機能を担う。参考に、HiveOS にはすでに GMiner がインストールされているため、ウォレットファイルだけを変更する方式が用いられる。これにより、感染した HiveOS システムでは攻撃者が指定したコインが採掘される。

一般的に、Linux サーバーを対象とするコインマイナーマルウェアは XMRig をインストールしてモネロコインを採掘する傾向がある。だが、今回確認された HiveOS を対象とするマイナーはレイヴンコイン(Ravencoin)を採掘することが特徴である。レイヴンコインはビットコインベースの暗号通貨で、資産転送と管理に特化した暗号通貨およびブロックチェーンのプラットフォームである。以下のようにダウンロードされたウォレットファイル「wallet.conf」を確認すると、KawPow はレイヴンコインの採掘アルゴリズムと攻撃者が設定したマイニングプールアドレス、ウォレットアドレスを確認できる。

6. 結論

最近、不適切に管理されている HiveOS サーバーを対象とする Cryptojacking 攻撃が発生している。HiveOS は暗号通貨の採掘専用 OS であり、リモート管理のために運用している SSH サーバーが脆弱なアカウント情報を使用することにより、攻撃対象となった。攻撃者は、初期侵入後にレイヴンコインを採掘するよう操作を行い、このほかにも LinuxRC バックドアをインストールした。

そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃から Linux サーバーを保護するべきであり、セキュリティパッチを最新にして脆弱性攻撃を防止する必要がある。また、外部に公開されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。

ファイル検知
– Downloader/BASH.Miner (2024.09.20.02)
– Backdoor/Linux.Shell.23272 (2024.09.20.02)
– Downloader/BASH.Miner.SC204555 (2024.09.20.02)
– Data/BIN.Config (2024.10.06.03)

IOC 関連情報

MD5

1453e39da61777e617ff2da815905c63

2d24ab3191541c45a12bde89ea12478f

8a6ca9c05e1849522f993ce48af1ee6d

e609138ef098be4a6f874f54ca565d19

URL

http[:]//are[.]cloudns[.]org[:]12300/hfs/miners/autofan

http[:]//are[.]cloudns[.]org[:]12300/hfs/miners/autofan[.]service

http[:]//are[.]cloudns[.]org[:]12300/hfs/nvidia-conf-delay

http[:]//are[.]cloudns[.]org[:]12300/hfs/overclock[.]service

http[:]//are[.]cloudns[.]org[:]12300/hfs/run

追加 IoC は ATIP で提供しています。