Abcbot

ほぼこもセキュリティニュース By Terilogy Worx

AbcbotはLinux上のマルウェアです。
クラウドで動作している、弱いパスワードで保護されているか、パッチが適用されていないアプリケーションを実行しているLinuxサーバーを標的として広がっています。
このマルウェアを使用する攻撃者の主たる目的は、マイニングのようです。
次のような活動を展開します。

  • パスワード推測、もしくは、脆弱性の悪用で、侵入する
  • SELinuxを無効化するbashスクリプトを仕掛ける
    SELinuxとは、Security-Enhanced Linux の略です。
    Linuxディストリビューションではなく、強制アクセス制御機能を加えるモジュールの名前です。
  • 攻撃者のバックドアを仕掛ける
    SSHで接続できるように、自分のSSH keyを登録します。
  • 侵入先の状況を確認し、自分の都合がよい状態にする
    侵入先の機器上に、他のマルウェアの活動があるかを確認します。
    他のマルウェアを見つけると、その見つけた他のマルウェアのプロセスを終了します。
    侵入先のリソースは全部自分が盗む、ということでしょうか。
  • 永続化する
    rc.localおよびcronを介して永続性を確立します。
    これにより、起動時やなんらかの時間毎に、シェルスクリプトをダウンロードするなどが実行されます。
  • SSH keyを間引く
    自分が追加した以外のSSH keyを削除します。
    これで、他のマルウェア犯罪者は継続的な活動が実施しにくくなります。
  • ネットワークアクセスを整える
    C&Cと通信するためのルールをiptablesに登録します。
    追加のペイロードも送り込むことができるようになります。
  • 横展開する
    rootユーザのSSHのknown_hostsを発見した場合、そこにあるentryを使って、それらの機器に自分をコピーします。
  • いくつかの仕事をする
    亜種が確認されるマルウェアは多くあります。
    Abcbotでも亜種が複数確認されています。
    マイニングするモノ、DDoS攻撃をするモノ、単に他のマルウェアを排除するだけのモノ、などがありそうです。

このマルウェアも、侵入されたら終わりな仕上がりに思えます。
まず侵入されないようにするべきだと感じます。

パスワードに推測しにくいものを使用するとか、そもそもパスワードによる認証をやめるとかを考えるべきかもしれません。
脆弱性対策としてタイムリーにパッチを適用することも必要でしょう。
面倒だとか言っていられない状況になってきています。

参考記事(外部リンク):The Continued Evolution of Abcbot
www.cadosecurity.com/the-continued-evolution-of-abcbot/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。