• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

クラウドセキュリティ製品をアンインストールする初めてのマルウェア

Xingyu Jin, Claud Xiao 1 23, 2019 at 09:00 午前

本ブログは米国で2019年01月17日に公開されたUnit 42ブログ「Malware Used by "Rocke" Group Evolves to Evade Detection by Cloud Security Products - Unit42」の日本語翻訳です。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、近頃、サイバー攻撃者グループ「Rocke」が使用する、Linuxを使った仮想通貨マイニング マルウェアの新しいサンプルを確認し、調査を行いました。このマルウェアファミリーは、サイバー犯罪グループ「Iron」によって開発されたと推測され、2018年9月に弊社が報じたXbashマルウェアとも関連しています。Rockeグループの存在は、元々2018年8月にTalosにより明らかにされ、その驚くべき振る舞いの多くは、Talosのブログ投稿(英語)で公開されました。本レポートで説明するサンプルは2018年10月に収集されたもので、それ以降、彼らが使用したコマンド アンド コントロール(C2)サーバーは停止しています。

Unit 42の分析によると、Rockeグループが使用するこれらのサンプルには新しいコードが採用されており、侵害されたLinuxサーバーから、5種類のクラウド セキュリティ保護および監視製品をアンインストールすることがわかりました。これらの攻撃では、そのセキュリティ製品自体が侵害されるわけではありません。この攻撃では、まずホストに対する完全な管理制御権を得て乗っ取り、正規の管理者が行う手法と同様に、セキュリティ製品をアンインストールします。

アンインストールの対象となる製品は、Tencent CloudおよびAlibaba Cloud (Aliyun)が開発した製品です。これらの企業は、グローバルにビジネスを拡大している、中国を代表する2つのクラウド プロバイダーです。弊社で把握している限り、これはクラウド セキュリティ製品を狙い、削除するという珍しい機能を持つ初めてのマルウェアファミリーです。
このマルウェアにより、ガートナーによって定義されたクラウド・ワークロード保護プラットフォーム市場にとっての新たな課題が浮き彫りになりました。

 

技術的詳細

 

Rockeグループが使用する仮想通貨マイニングソフト

サイバー攻撃者であるRockeグループについては、2018年7月終わりに初めてCisco Talosが報告しました。このグループの最終的な目的は、侵害したLinuxマシンで仮想通貨Moneroをマイニングすることです。

被害端末にマルウェアを配信するため、RockeグループはApache Struts 2、Oracle WebLogic、Adobe ColdFusionの脆弱性を攻撃します。例えば、図1に示すように、LinuxでOracle WebLogicの脆弱性CVE-2017-10271を攻撃することにより、Linux端末が侵害され、0720.binというバックドアをダウンロードし、シェルをオープンします。


図1.CVE-2017-10271のエクスプロイト

C2接続を確立すると、Rockeグループが使用するマルウェアは、「a7」という名前のシェル スクリプトを被害端末にダウンロードします。「a7」の振る舞いには以下が挙げられます。

  • cronjobによる永続性の確立
  • 他の仮想通貨マイニング プロセスの強制終了
  • iptablesルールを追加して他の仮想通貨マイニング マルウェアをブロック
  • エージェントベースのクラウド セキュリティ製品のアンインストール
  • UPXでパックされた仮想通貨マイニングソフトをblog[.]sydwzl[.]cnからダウンロードして実行
  • LD_PRELOADトリックでオープン ソース ツール「libprocesshider」を使用することで、Linux psコマンドからプロセスを隠ぺい
  • 悪意のあるファイルの日時を調整

 

クラウド・ワークロード保護プラットフォーム

 

ガートナーによると、クラウド・ワークロード保護プラットフォーム(CWPP: Cloud Workload Protection Platform)は、エージェントベースのワークロードを中心としたセキュリティ保護ソリューションです。パブリック クラウド上にあるインフラストラクチャにおけるマルウェア侵入の影響を軽減するため、クラウド サービス プロバイダは、サーバー セキュリティ運用および管理の製品として、独自のCWPPを開発しています。

例えば、Tencent Cloudは、さまざまなセキュリティ保護サービスを備えた、Tencent Host Security (HS、別名YunJing「云镜」。リンク先英語)を提供しています。「製品の概要」ドキュメントによると、Tencent Host Securityは、機械学習に基づくトロイの木馬検出および除去、パスワード解析アラート、ロギング アクティビティ監査、脆弱性管理、資産管理などの主要なセキュリティ機能を提供します(図2参照)。

図2.Tencent Host Securityの主要機能

Alibaba Cloud (Aliyun)も、Threat Detection Service (TDS、別名Aegis 安骑士。リンク先英語)というクラウド セキュリティ製品を提供しています。Alibaba Cloud Threat Detection Serviceは、ビッグ データに基づき、マルウェアのスキャンおよび除去、脆弱性管理、ログ分析、脅威分析などのセキュリティ サービスを提供します。

サードパーティのサイバーセキュリティ各社もCWPPを提供しています。例えば、Trend Micro、Symantec、Microsoftには、パブリック クラウド インフラストラクチャ向けに独自のクラウド セキュリティ製品があります。すべてのセキュリティ製品と同様、攻撃者は最終的な目的を達するため、必然的にこれらのシステムを回避しようとします。

 

クラウド・ワークロード保護プラットフォームからの検出を回避

 

クラウド サービス プロバイダが提供するエージェントベースのクラウド ワークロード保護プラットフォームに対抗するため、Rockeグループが使用するマルウェアは、悪意のある振る舞いをする前に検出を回避する能力を徐々に高めてきました。そして特定の回避能力として、Alibaba CloudおよびTencent Cloudのクラウド セキュリティ製品をアンインストールするようになりました。

Rockeグループが使用するマルウェアの早期バージョンでは、Tencent Cloud Monitorプロセスを強制終了しようとするだけでした(図3参照)。


図3.マルウェアによるTencent Cloud Monitorプロセスの強制終了

クラウド監視サービスを強制終了するだけでは、エージェントベースのクラウド セキュリティ製品による検出を回避するには不十分であることがわかり、このマルウェアの作成者は、さらに多くのエージェントベースのクラウド セキュリティ サービスを強制終了することで検出を回避しようと、効果的な手法を開発し続け、最終的に製品をアンインストールするという方法にたどり着いたのです。

Tencent CloudおよびAlibaba Cloudの公式Webサイトでは、自社のクラウド セキュリティ製品のアンインストール方法について、ユーザーをガイドするドキュメントが提供されています。Alibaba Threat Detection Serviceをアンインストールするためのドキュメントを、図4に示します。


図4.Alibaba Threat Detection Serviceをアンインストールするための公式ガイド

 

Tencent Cloud Host Securityをアンインストールするためのドキュメントを、図5に示します。

 


図5.Tencent Cloud Host Security製品をアンインストールするための公式ガイド

 

Rockeグループが使用するマルウェアは、Alibaba CloudおよびTencent Cloudが提供しているアンインストール手順と、手当たり次第利用したインターネット上のブログ投稿に従って作成されています。このマルウェアが持つ主要なアンインストール関数を図6に示します。

 


図6.マルウェアが検出を回避するために使用する主要な関数

この関数は、以下をアンインストールできるようになっています。

  1. Alibaba Threat Detection Serviceエージェント
  2. Alibaba CloudMonitorエージェント(CPUおよびメモリ使用、ネットワーク接続を監視)。
  3. Alibaba Cloud Assistantエージェント(インスタンスの自動管理ツール)
  4. Tencent Host Securityエージェント
  5. Tencent Cloud Monitorエージェント

エージェントベースのクラウド セキュリティおよび監視の製品がアンインストールされた後、Rockeグループが使用するこのマルウェアは、悪意のある振る舞いを開始します。この独特の回避動作は、パブリック クラウド インフラストラクチャを標的とするマルウェアにとって新しいトレンドになると弊社は確信しています。

 

対応策

 

Unit 42は、Tencent CloudおよびAlibaba Cloudと協力し、このマルウェア回避問題およびそのC2インフラストラクチャに取り組んでいます。また、悪意のあるC2ドメインは、弊社のPAN-DB URLフィルタリングによって特定されています。

 

結論

 

パブリック クラウド インフラストラクチャは、このサイバー犯罪グループの主要な標的の1つです。既存のクラウド監視およびセキュリティ製品がマルウェア侵入の可能性を検出できるとわかると、マルウェアの作成者は、新しい回避技術を作成し、クラウド セキュリティ製品によって検出されないようにします。

Rockeグループが使用するマルウェアの亜種は、エージェントベースのクラウド セキュリティ ソリューションが、パブリック クラウド インフラストラクチャを標的とする回避型マルウェアを防ぐには不十分である可能性があることを示す一例です。

 

IOC

回避動作のあるサンプル

2e3e8f980fde5757248e1c72ab8857eb2aea9ef4a37517261a1b013e3dc9e3c4

2f603054dda69c2ac1e49c916ea4a4b1ae6961ec3c01d65f16929d445a564355

28ea5d2e44538cd7fec11a28cce7c86fe208b2e8f53d57bf8a18957adb90c5ab

232c771f38da79d5b8f7c6c57ddb4f7a8d6d44f8bca41be4407ed4923096c700

893bdc6b7d2d7134b1ceb5445dbb97ad9c731a427490d59f6858a835525d8417

9300f1aa56a73887d05672bfb9862bd786230142c949732c208e5e019d14f83a

27611b92d31289d023d962d3eb7c6abd194dbdbbe4e6977c42d94883553841e8

d341e3a9133e534ca35d5ccc54b8a79f93ff0c917790e7d5f73fedaa480a6b93

ed038e9ea922af9f0bf5e8be42b394650fa808982d5d555e6c50c715ff2cca0c

4b74c4d66387c70658238ac5ab392e2fe5557f98fe09eadda9259ada0d87c0f1

e391963f496ba056e9a9f750cbd28ca7a08ac4cfc434bee4fc57a292b11941e6

017dee32e287f37a82cf6e249f8a85b5c9d4f090e5452118ccacaf147e88dc66

 

C2通信用ドメイン

dwn[.]rundll32[.]ml

www[.]aybc[.]so

a[.]ssvs[.]space

sydwzl[.]cn

 

C2通信用IP

118.24.150[.]172 (Tencent Cloudの場合)

120.55.54[.]65 (Alibaba Cloudの場合)

 

コード更新のURL

hxxps://pastebin[.]com/raw/CnPtQ2tM

hxxps://pastebin[.]com/raw/rjPGgXQE

hxxps://pastebin[.]com/raw/1NtRkBc3

hxxps://pastebin[.]com/raw/tRxfvbYN

hxxps://pastebin[.]com/raw/SSCy7mY7

hxxps://pastebin[.]com/raw/VVt27LeH

hxxps://pastebin[.]com/raw/Fj2YdETv

hxxps://pastebin[.]com/raw/JNPewK6r

hxxps://pastebin[.]com/raw/TzBeq3AM

hxxps://pastebin[.]com/raw/eRkrSQfE

hxxps://pastebin[.]com/raw/5bjpjvLP

hxxps://pastebin[.]com/raw/Gw7mywhC

 

XMRウォレット アドレス

42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved