sshはSecure Shellです。
リモートコンピュータと通信するためのプロトコルで、認証部分を含めネットワーク上の通信がすべて暗号化されるため、通信内容を経路上で確認することはできません。
Windows上にもsshのサーバを動作させることはできますが、通常はLinuxなどのUnix系システムで利用されます。
このssh、正しく設定すれば安全に使うことが可能ですが、そうでない場合は安全ではありません。
道具は等しく同じことがいえます。
このsshを使った攻撃キャンペーンが確認されています。
こんな様子です。
- ログインする
インターネットから接続可能なsshサーバが発見されます。
そしてそのsshサーバに対し、総当たり攻撃でログインが試みられます。
証明書認証などが設定されていればパスワード認証をいくら試みられたとしても安全性に問題はないのですが、パスワード認証が有効なままになっているとそのうちログインされてしまうこともあります。 - 環境を整える
攻撃者が快適な環境を構築します。
操作の履歴が残らないようにします。
openssh-8.0p1.tgzというファイル名のパッチ適用済みのOpenSSHを侵害環境にダウンロードし、展開します。
ここには改造されたsshdに加えて、いろいろなアーキテクチャの環境向けのバックドアバイナリなどが詰め込まれています。 - バックドアの動作開始
環境が整ったら、バックドアが実行されます。
このバックドアはシェルスクリプトなのですが、shcというシェルスクリプトコンパイラでコンパイルされているので、バイナリ形式になっています。
逆コンパイルすれば内容を追うことは可能ですが、不正行為の検出の観点では面倒です。 - ルートキットの設置
ルートキットはコンピューターに潜伏し不正アクセスを手助けするツールがパッケージ化されたものです。
いろいろな実装がありますが、いくつものルートキットがオープンソースで入手できます。
この攻撃キャンペーンではGitHubで公開されている2種のルートキットを使います。
DiamorphineとReptileです。
ルートキットの設置が完了すれば、悪意ある活動のプロセスは隠蔽できます。 - 接続経路のさらなる確保
システム上にはいくつかのアカウントがあるのが通常でしょう。
それらのすべてのアカウントにsshの認証で使用できる公開キーを登録します。
もともとの攻撃はシステムの設定不備を悪用して開始しましたが、攻撃者はより確実な方法として鍵認証方式での接続が可能となるように設定します。 - ログの掃除
攻撃者の実施する新しい活動はすでに記録されないようになっていますが、その準備が整うまでの間の活動はすでにログに記録されてしまっています。
これを掃除します。
侵害したシステム上のログファイルから関連する内容を含む行をすべて削除します。 - Botの設置
ZiggyStarTuxというBotを展開します。
これはオープンソースのIRC-Botです。
このBotにはいくつかの機能が実装されていますが、そこにダウンロード機能とコマンド実行機能があります。
このBotはスクリプトをダウンロードし動作させます。
スクリプトの内容は、横展開です。
最初に侵害されたデバイスのサブネット内のすべてのライブなホストに総当たり攻撃を行い、トロイの木馬化されたOpenSSHパッケージを使用して脆弱なシステムを増殖させます。
怖すぎます。
いったいどうしてこうなってしまったのでしょう。
そもそも設定が妥当であれば、こんなことは始まらなかったでしょうね。
あと、システムのログがシステム上にしかない場合はそこで削除されるとお手上げですが、安全な場所にログを転送して保持する仕組みを持っていれば、調査することができる状態は維持できるでしょう。
システムの改善を検討するのがよいかもしれません。
参考記事(外部リンク):IoT devices and Linux-based systems targeted by OpenSSH
trojan campaign
www.microsoft.com/en-us/security/blog/2023/06/22/iot-devices-and-linux-based-systems-targeted-by-openssh-trojan-campaign/
| この記事をシェア |
|
|---|
