NEWS

ニュース | 最新のニュースをお届けします

Linuxを攻撃する「Kaiten」の新バージョンが発見される

この記事をシェア

2002年に発見されたLinuxマルウェア「カイテン」はその後幾つかの亜種を生み出しましたが、しばらく活動が途絶えていました。ところが2016年3月末、突如新たなバージョンが登場しました。しかも機能が強力になっており、ボット攻撃に悪用される恐れがあるため、警戒が必要です。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものです。

ESETの研究グループが、ルーターやWi-Fiのアクセスポイントなどに攻撃を仕掛けるLinuxマルウェア「カイテン」(Kaiten)の新種を特定しました。カイテンはIRCによって制御されDDoS(分散型サービス妨害)攻撃を仕掛けるものでしたが、この悪意あるコードの新種は、先立つ2つのバージョンの能力が組み合わさった上、さらにルーターやWi-Fiアクセスポイントのようなネットワークに接続される機器に感染できる独自の拡散メカニズムが付け加えられています。

今回利用されたマルウェアは3種類ありますが、いずれもすでにESET研究者により識別されていた「Linux/Remaiten」の亜種で、「KTN-Remastered」または「KTN-RM」を複製したものです。コード上の記述に基づけば、このマルウェアの主な特徴は、改良された拡散メカニズムにあります。

新種KTN-RMは、テルネット・スキャンを用いて、ルーターやその他インターネット接続用周辺機器のプラットフォーム上に直接ダウンロードを行い、その拡散能力を増強させています。このメカニズムが狙いを付けるのはまず、接続認証のレベルに弱点を持つ環境です。

「この悪意あるコードは、テルネットを介し、ネット・デバイスに自分を接続しようと試みます。そして接続に成功すると、ダウンローダーを注入し、使われているプロセッサー(ARMないしMIPS)を操って、自分のC&Cサーバーから任意の実行可能ファイルをダウンロードし始め、任意のLinux/Remaitenボットをインストールします。私たちは、Linux/Mooseが以前、感染を広げるのにこのテクニックを使っているのを見たことがあります」と、ESETマルウェア研究員ミカル・マリク(Michal Malik)は説明します。

この風変わりなコードの作られ方を示すもう一つの点は、自分を駆除しようとする相手に向けられたメッセージがそれに仕込まれているということです。

「バージョン2.0は「ようこそ」(ウェルカム)メッセージの中で、このマルウェア・ファミリーに属する「Gafgy」や「Tsunami」またその他のメンバーに関する詳細情報を数多く公開しているサイト「malwaremustdie.org」に対して興味を示していると表明しています」とマリクは付け加えています。

詳しい追加情報やこのLinux/Remaiten ボットのコード分析に関しては、ESET公式ブログ掲載、ミカル・マリクの次の技術記事で読むことができます。

Meet Remaiten a Linux bot on steroids targeting routers and potentially other IoT devices(By Michal Malik in cooperation with Marc-Etienne M.Leveille posted 30 Mar 2016 - 02:49PM)

<マルウェア情報>

名称 Linux/Kaiten
種類 トロイの木馬
特定日 2002年10月1日
亜種 Linux/Kaiten.A(2002年10月1日)
Linux/Kaiten.B(2005年12月27日)
Linux/Kaiten.E(2006年3月8日)
Linux/Kaiten.U(2006年1月25日)
Linux/Kaiten.AJ(2006年3月15日)など
名称 Linux/Remaiten
種類 バックドア(トロイの木馬)
特定日 2016年3月1日
特徴 リモートで制御される
インターネットからダウンロードされる指示に従って拡散する
侵入 実行時に自身をコピー
次のファイルを作成する場合がある
/dev/shm/.kpid
/var/run/.kpid
/var/tmp/.kpid
/tmp/.kpid
/.kpid
./.kpid
拡散 インターネットからダウンロードされた指示に従って拡散可能
多様なIPアドレスを生成
ポート上でリモートマシンへの接続を試みる
23 (TCP, Telnet)
ログイン証明をしようと総当たり攻撃を試みる
リモートのコンピューターへファイルやマルウェアを送り込もうとする
マルウェア本体に他のマルウェアファイルを内包している場合が多い
次のフォルダにファイルが保存される
/dev/netslink/
/var/tmp/
/tmp/
/
/home/
以下からファイル名が選ばれることが多い
.t
retrieve
binary
retr
%variable%
可変の内容を持つストリングが「%variable% 」の代わりに用いられ、実行されるリモートコンピューターまたはインターネットからのデータとコマンドを必要とする
通信のための情報として、IPアドレス、IRC、HTTPプロトコルを含む
その他(リモートのコンピューターやインターネットからファイルをダウンロード、シェルコマンドの実行、DoS/DDoS攻撃の実行、収集情報の送信、ポートのスキャンによるテルネットサービスの存在の探査) プロセス名を変えることができる
名称 Linux/ Gafgyt
種類 バックドア(トロイの木馬)
特定日 2014年12月2日
特徴 リモートで制御される
情報(MACアドレス、IPアドレス)を窃取
ボットネットに組み込む
通信のための情報として、IPアドレス、IRC、HTTPプロトコルを含む
その他(リモートのコンピューターやインターネットからファイルをダウンロード、シェルコマンドの実行、DoS/DDoS攻撃の実行、収集情報の送信、ポートのスキャンによるテルネットサービスの存在の探査)
この記事をシェア

Linux環境のセキュリティ対策に

マルウェア情報局の
最新情報をチェック!