JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説~対策マニュアルとしても有効 | ScanNetSecurity
2021.09.19(日)

JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説~対策マニュアルとしても有効

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5月20日、2021年2月頃に確認した仮想通貨マイニングツールのXMRigの設置を狙った攻撃についてブログで紹介した。

脆弱性と脅威 脅威動向
攻撃の流れ
攻撃の流れ 全 1 枚 拡大写真
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5月20日、2021年2月頃に確認した仮想通貨マイニングツールのXMRigの設置を狙った攻撃についてブログで紹介した。

JPCERT/CCによると、被害のあったサーバでは、インターネット上から複数のSSHログイン試行が行われており、最終的にrootアカウントへのログインが成功、侵入後に攻撃者はさらに内部ネットワーク上のサーバに対しSSHブルートフォース攻撃を行い、最終的にSSHログインが可能な複数のサーバに横展開し仮想通貨MoneroのマイニングツールであるXMRigを設置・実行している。なお、XMRigを実行する際にはXHideと呼ばれるプロセス隠蔽ツールを使用し、プロセス名を隠蔽することで発覚を遅らせようとする痕跡が見られたという。横展開されたサーバで見つかったツールは次の通り。

init:オープンソースのマイニングソフトウェアであるXMRig
system:XMRigを繰り返し実行するbashスクリプト
h64:XHideと呼ばれるプロセス隠蔽用ツール

攻撃者はマイニングツールを配信した後、侵入したサーバに対し以下のログファイルの中身を/dev/nullとすることで、痕跡を削除している。また、/var/log配下にある各ログファイルから、指定した文字列が含まれる行を削除するスクリプトを使用し、引数に指定された文字列以外の文字列を.xzの拡張子からなるファイルとして出力し、新しく生成した各xzファイルについてタイムスタンプの更新を行い各ログファイルへ上書き、最後に各xzファイルを削除することで痕跡を消去している。

/var/log/security
/var/log/wtmp
/var/log/btmp
/var/log/utx.lastlog
/var/log/utx.log

攻撃者はマイニングツールの配信とログファイル削除後に、最初に侵入したサーバから外部のランダムな通信先に対し以下のツールを使用し大量のスキャン通信を行っている。この攻撃スクリプトの動作として、最初にSYNスキャンを実行し、指定したポートが開放されているかを確認、通信先のレスポンスからバナー部分を読み取り、SSHサーバと推定される場合にSSHブルートフォース攻撃が実行される。

ps:Sharkと呼ばれるポートスキャンツール
ps2:ポートスキャンツール
banner:指定した通信先にアクセスし、通信先のレスポンス内容からバナーを抽出するツール
prg:IPアドレスリスト、パスワードリストを読み込み、SSHブルートフォース攻撃を行うツール
root:スキャン、SSHブルートフォースを行うbashスクリプト

JPCERT/CCでは本攻撃について、昔から狙われるありふれた攻撃方法であるが、一度内部ネットワークに侵入されると推測されやすいユーザー名やパスワードが設定されている状態では横展開が容易になるため、SSH利用時のアクセス制限やSSH公開鍵認証を設定するといった対策が重要となるとまとめている。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. P2Pネットワーク監視サービス「P2P FINDER」がBitTorrentに対応(クロスワープ)

    P2Pネットワーク監視サービス「P2P FINDER」がBitTorrentに対応(クロスワープ)

  2. 苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了

    苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了

  3. 「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案

    「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案PR

  4. LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い

    LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い

  5. ドメイン名ハイジャック対応、日本企業のベストプラクティス事例

    ドメイン名ハイジャック対応、日本企業のベストプラクティス事例

  6. JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向

    JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向

  7. オリエンタルコンサルタンツへのランサムウェア攻撃、新たに東京都の委託業務の被害も発覚

    オリエンタルコンサルタンツへのランサムウェア攻撃、新たに東京都の委託業務の被害も発覚

  8. 大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得

    大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得

  9. 海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出

    海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出

  10. Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性

    Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性

ランキングをもっと見る