FBotは、多機能なマルウェアです。
特に、その機能の方向性は、クラウドに向けられています。
機能の名称だけを見てみても、その特化した様子が想像できます。
Random IP Address Generator, Random IP Address Generator with IP Range, HTTP IP Address Checker with Port Scanner, AWS API Key Generator, Sendgrid API Key Generator, Mass Larawel Validator, Mass Laravel Database Scanner, Mass Laravel SMTP Scanner, Mass Laravel Config Scanner, Mass CMS Scanner,
Mass PHPUnit RCE Exploiter, Mass Reverse IP Scanner, Mass Reverse Scanner without proxy, Mass Reverse Domain to IP Address, Mass Subdomain Enumration Scanner, Mass Paypal Email Validator, Mass Email Validator, Mass Twillo Checker, Mass AWS Checker, Mass AWS EC2 Checker, Mass Sendgrid API Key Checkerという具合です。
目で追いかけるのも簡単ではないくらいのたくさんの機能です。
機能は増えていくのだと思いますが、この確認時点で、実に22の機能が実装されています。
この中のAWSアカウントを攻撃するものを見てみましょう。
- AWS API Key Generator
この機能は、ランダムに選択された16文字のアルファベットを標準AKIAプレフィックスに追加することによって、ランダムな AWS アクセスキーIDを生成します。
そして、ランダムに選択された40文字のアルファベットから秘密鍵を生成します。
よく利用される別のマルウェアのコードをそのまま使用するマルウェアが多い中、このマルウェアのこのコード部分は別の実装となっています。
しかし、論理的には同じ処理となっています。
アクセスキーとパスワードの組み合わせの数は自由度が大きいため、この機能がアカウント認証情報の総当り攻撃に成功する可能性は低いと考えられますが、この機能はマルウェアの魅力向上の効能があるということなのでしょうか。 - Mass AWS Checker
この機能は、AWS Simple Email Service (SES) の電子メール設定の詳細 (最大送信クォータと送信速度、過去24時間に送信されたメッセージの数など) をチェックします。
これにより、ターゲットのアカウントに対するスパム行為が最大限に行われる可能性があります。
そして、新しいアカウントを作成して権限を設定し、スパム攻撃を開始します。
メールを送信できる上限が確認済みですので、ばれない範囲で最大に悪用することができるというわけです。 - Mass AWS EC2 Checker
この機能は、AWS IDのリストを .html形式のテキストファイルから読み取ります。
そして、対象のアカウントのEC2サービスクォータを確認します。
これはEC2の機能を最大限に悪用するための上限値として利用されるということなのでしょうか。
現時点では、このマルウェアは大規模に販売展開されている様子は確認されていません。
しかし、大規模ではないからこそ、一般的なセキュリティツールでの検出は容易ではないかもしれません。
マルウェアが更新されていくことも、検出を難しくしています。
こういったツールは、FBotだけではありません。
利用できる安全対策は積極的に利用して備えておくということが重要だと感じます。
多要素認証を設定し使用する、新規アカウントが設定された際にアラートされるようにするなどの備えが、とりあえず実施できそうなこととして浮かびます。
身の回りを確認してみようと思います。
参考記事(外部リンク):Exploring FBot | Python-Based Malware Targeting Cloud and
Payment Services
www.sentinelone.com/labs/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services/
| この記事をシェア |
|
|---|
