SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2021年6月7日号

***************************************************************
 サイバー攻撃者が利用するハッキングツールとマルウェア
***************************************************************
サイバー攻撃者が攻撃を行う時に利用するのは、システムやアプリケーションの脆弱性を狙って攻撃
してくることが多い。
しかし、脆弱なサーバを狙いどのような目的を果たすかによって様々なハッキングツールを利用して
侵入を試み、場合によってはマルウェアのような不正プログラムも使用して目的を達成する。

政府機関や企業のシステムやサーバには様々なセキュリティソリューションが存在する。
攻撃者はこれらセキュリティソリューションからの検出を避け、侵入に気付かれないようにしなければ
ならない。
どこかを標的にしないのであれば、サイバー攻撃者は侵入しやすいターゲットを狙ってくるのである。

企業が対外的にサービスするアプリケーションのほとんどは、Web形式で実装されるため、Webサイト
が攻撃者の攻撃目標となる場合が多い。
攻撃者は、Webサイトで利用可能な脆弱性を探し、WebサイトにWebShellを設置してターゲット
を制御する。

WebShellは一度侵入したマシンに対しバックドアとして機能するため、それ自体が削除されない限り、
悪意のある行動を続けることが可能になるのである。
更に検知を避けるためにWebShellの暗号化は一般化されており、トラフィックの暗号化がされるため
従来のWAF、IPS/IDSでの検知が難しくなった。

したがって、Webの管理者は攻撃者が使用する暗号化ツールを知っておく必要があり、それに合う
対応方法を見つけなければならない。

最近、中国系サイバー攻撃者が多く使用しているWebShell管理ツールは、【China Chopper】
【AntSword】【Behinder】の3つが挙げられる。

【China Chopper】 は、代表的な WebShell 管理ツールでありファイル管理、データベース管理、
仮想ターミナルなどの機能を備えている。
プログラムの中にはサーバコードがあり、コード内にある“Passwd”は接続用パスワードを意味する。
これを必要に応じて変更することができ、サーバ側のコードに対する難読化の作業を進めることで検知
をバイパスさせることができる。

【AntSword】は、China Chopperよりインターフェースが簡潔で、機能が多様であり、ソースコード
がオープンされている。
AntSwordのインコーダ/デコーダは、リクエストとレスポンス側のトラフィックに対してインコード/デコード
を行うことでトラフィック検知をバイパスさせる。

【Behinder】は、 転送データを動的に暗号化するWebShell管理ツールである。

SIPS分析班はこれらのツールを入手し、実際にその特性を検証した。
それぞれの特徴を理解し対応する対策を取ることで、Webサーバのセキュリティレベルを上げることが
できるのである。関心のある人は是非問い合わせしてほしい。

更に、昨年末から現在まで採掘型ボットネットが活動しており、新たなマルウェアが登場したり、既存の
マルウェアが機能をアップグレードしたりしている。
これは主に悪性コードの伝播力と隠蔽力を向上させるためである。
最近では、rinfo、z0minerに関する検知が大幅に増加しているが、最新マルウェアはSysrv-hello
ファミリーである。

侵害されたWindowsやLinuxシステムに暗号通貨マイナーをインストールし、ハードウェアリソースを
使用してMoneroをマイニングする、プライバシーに焦点を当てた暗号通貨である。

しかし情報セキュリティ企業からマルウェアが報告されると、マルウェア制作者は即時機能をアップデート
して感染能力を高めていると分析されている。

SIPS分析班は、このマルウェアがどのような挙動をするか検証すると、感染した機器がWebサーバで
あれば、その機器自体が採掘を進めるだけでなく、Webファイルが改ざんされて、サーバに接続する
WindowsのPCは、全てマルウェアに感染してSysrv-hello採掘マシンに化す危険性がある事が
分かった。

他にも、中国からのフィッシング攻撃に利用されるマルウェアで、【Poulight】という機密切り取り型
マルウェアが確認されたが、このマルウェアは昨年から利用され始めていて機能が多様で強力である。
.txtファイルに偽装したlnkファイルを転送して、ユーザーを眩惑させるので注意が必要になる。

本日紹介したハッキングプログラムやマルウェアは、確認されている様々なハッキング関連プログラム
のほんの一部でしかない。
5月21日号の当セキュリティレポートで注意喚起したランサムウェアもマルウェアの一つであり、その後
日本企業も被害が続々発生している。

多種多様なハッキングプログラムやマルウェアに対応しなければ、いずれ侵入され情報流出などの
事故を引き起こすことになりかねない。

国も企業もセキュリティ対策としてセキュリティソリューションを利用することは必要であると思う。
しかし、攻撃者は更にその上を行き、セキュリティソリューションを回避してくる、アップデートされれば
さらにプログラムをアップグレードさせる。

攻撃者がどのような手法で攻撃してくるのか相手を知らずして自らを守ることは出来ないのである。

セキュリティソリューションは既知の攻撃に対応するソリューションであるという事を忘れてはならない。
そこを読み違えると大きな代償を払う事になるかもしれない。
---------------------------------------------------------------------------------
 <参考URL>
NHK:2021/6/3
富士フイルム 社内サーバーに不正アクセスか 被害状況調査
https://www3.nhk.or.jp/news/html/20210603/k10013064981000.html

NHK:2021/5/4
ランサムウエア感染で“身代金”要求 日本企業で被害相次ぐ
https://www3.nhk.or.jp/news/html/20210504/k10013012871000.html

イーセットジャパン:2021/3/16
多数のAPTグループによるExchange Serverのゼロデイ脆弱性への集中的な攻撃が発生
https://www.eset.com/jp/blog/welivesecurity/exchange-servers-under-siege-10-apt-groups/

Cisco Japan Blog:2019/9/10
9 年経過した今も脅威であり続ける China Chopper
https://gblogs.cisco.com/jp/2019/09/talos-china-chopper-still-active-9-years-later/

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved