Outlaw

Outlawは、マルウェアの名前です。
これは、自動増殖型の暗号通貨マイニングボットネットを構成するマルウェアで、SSHブルートフォース攻撃、暗号通貨マイニング、ワームのような増殖を利用してシステムに感染し、制御を維持するLinuxマルウェアです。
そして同時に、この名前は このマルウェアの背後にいる脅威アクターにつけられた名前でもあります。
この脅威アクターの活動は新しいものではなく、少なくとも2018年から活動が確認されています。
最近確認されているOutlawマルウェアの様子を見てみましょう。

• ssh
  初期アクセスはsshのブルートフォース攻撃から開始されます。
  脆弱な認証情報やデフォルトの認証情報を持つシステムがターゲットとなります。
• tddwrt7s.sh
  認証されて接続できた状態になると、脅威アクターはshell scriptを送り込んで実行します。
  これはドロッパーです。
  脅威アクターの用意したサーバからパッケージを取得し、これを環境に適用します。
• 初期化
  マルウェアの展開が完了すると、動作環境の整備を開始します。
  環境に隠しディレクトリを用意し、ここにマルウェアを配置します。
  そして、定期的な実行や再起動時に自動的に実行されるようにcronタスクを設定します。
• 仕事：マイニング
  仕事の一つはマイニングです。
  持ち込んだマルウェアの中にはXMRIGが含まれています。
  これを環境を詳細に調査し、最適な能力で実行されるように調整して動作させます。
  CPUコアの最適化に加え、メモリ使用量も最適化を試みます。
  もう一つの仕事は環境の占有です。
  侵害環境を調査し、既知の他のマルウェアがあることがわかるとこれを停止させます。
  この部分の機能はperlのscriptで作成されているのですが、これは暗号化されていて、内容は確認できません。
  しかし、その暗号化にはPerl Obfuscatorというユーティリティが利用されていますので、このツール用のdecode用ツールを使うことで内容を確認することができます。
• 仕事：BOT化
  そして、さらなる仕事は、侵害環境の自由な利用です。
  侵害環境をBOT化します。
  この部分にはSHELLBOTが使用されます。
  SHELLBOTは、任意のシェルコマンドの実行を可能にし、追加のペイロードをダウンロードして実行し、DDoS攻撃を開始し、資格情報を盗み出し、機密情報を盗み出します。
  このSHELLBOTは、カスタムされたものではなく公開されているマルウェアがそのまま使用されます。
  SHELLBOTの操作にはIRCが利用されます。
• 仕事：感染拡大
  追加の仕事は感染拡大です。
  カスタムブルートフォースツールを展開し、侵害済み環境から横展開を行います。
  ここで使用されるマルウェアはBLITZです。
  BLITZは、外部のC2からマルウェアパッケージをダウンロードする代わりに、最初に持ってきていたマルウェアパッケージを感染ホストから新しい被害者に直接転送し、持続性を強化して外部インフラストラクチャへの依存を最小限に抑えます。
  持ち込み済みのファイルを直接転送する動きを選択することで、不審な動きと見えにくくなることが狙われています。

こういった脅威には、どのように対応していくのが良いでしょう。
まずは弱いパスワードや初期状態のまま設定変更していないパスワードを利用した状態から脱却することが必要です。
そして、選べるのであればパスワードによる認証ではなく、鍵情報を使う方式の認証に切り替えていきたいです。
不明なcronタスクやssh鍵が いつの間にか設定されているようなことがないかも確認したいです。
さらに、環境をサブネットに分割して必要最小限の通信しか許可しない状態に設定することで、被害範囲を小さくすることができます。
できる対策は、いくつもありそうです。
これらの対応はこの脅威のための個別の対策ということではなく、広く有効なものとなりそうです。

Outlaw Linux Malware: Persistent, Unsophisticated, and Surprisingly Effective

https://www.elastic.co/security-labs/outlaw-linux-malware