• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

Muhstik ボットネットが最新のWebLogic脆弱性を暗号通貨マイニング、DDoS攻撃に悪用

Cong Zheng and Yanhui Jia 5 07, 2019 at 10:30 午前

本ブログは米国で2019年04月30日に公開されたUnit 42ブログ「Muhstik Botnet Exploits the Latest WebLogic Vulnerability for Cryptomining and DDoS Attacks」の日本語翻訳です。

header image

 

エグゼクティブサマリー

2019年4月28日、パロアルトネットワークス脅威インテリジェンス調査チームUnit 42はLinuxボットネットMuhstikの新しい亜種を発見しました。この新しいバージョンは、2019年4月26日に公開された最新のWebLogic Server脆弱性(CVE-2019-2725)を悪用して脆弱なシステムに自分自身をインストールします。Oracleは本脆弱性について同日緊急パッチを公開済みです。弊社では、同社の緊急パッチにより、Muhstik最新亜種から正しく保護されることを確認済みです。

また私たちは、Muhstikの開発者が新しいLinuxサービスの脆弱性向けエクスプロイトを積極的に監視し、ただちにボットネットに悪用する様子をタイムラインから確認しています。この行動は理にかなっています。ボットネットに新しいエクスプロイトをなるべく早期に含めれば、システムへのパッチ適用前にこの脆弱性を悪用してより多くのボットを収集する可能性が高くなるからです。したがって、ボットネットとの競合プレッシャー下で、サービスベンダとユーザの両者が、おのおのパッチのリリース、インストールを行うことで、新しい脆弱性に対処する必要があります。

Muhstikボットネットは2018年3月から活動を続けており、LinuxサーバーやIoTデバイスに感染するワームのような自己増殖機能を備えています。これらを侵害後は通常、暗号通貨マイニングソフトウェアとDDoS攻撃を開始することで攻撃者に金銭的利益をもたらします。Muhstikは、WebLogic、WordPress、DrupalなどのさまざまなLinuxサービスに複数の脆弱性の悪用を利用して感染します。以前のMuhstikは古いWebLogicの脆弱性の悪用を採用していました(CVE-2017-10271)が、今回のエクスプロイトをツールキットに追加することで、感染可能なシステムの数を増やしています。

新しいWeblogic脆弱性のエクスプロイト

WildFire Linuxアナライザを使用して、3つの新しいMuhstikサンプルからのCVE-2019-2725 WebLogic脆弱性に対するエクスプロイトトラフィックをキャプチャしました。エクスプロイトのペイロードには、ダウンロード用シェルコマンドが1つだけ含まれています。これがwl.phpで、ダウンロード元 IPアドレスは165.227.78[.]159です。wl.phpは、現時点では正常にダウンロードできませんが、私たちはこれが PHPの webshell である可能性が非常に高いと考えています。

IPアドレス165.227.78[.]159は以前、Mushtikボットネットでレポート先サーバとして動作し、ボットの情報を収集していました。しかし今では、このIPアドレスはペイロードホストサーバーとしても使用されている可能性があります。

図1 新しいMuhstikサンプルからのエクスプロイトトラフィック

結論 / 緩和策

Oracle WebLogicのwls9-async RCEの脆弱性は、現在インターネット上で活発にMuhstikボットネットによって悪用されており、将来的には他のマルウェアファミリからも悪用される可能性があります。Oracleセキュリティアラートアドバイザリからの指示に必ず従ってください。

それまでの間、Palo Alto Networksのお客様は、以下のセキュリティプラットフォームからの保護によってこのエクスプロイトから保護されています。

  1. Threat Prevention シグネチャ55570がエクスプロイトコードを含むHTTPリクエストを識別します。
  2. PAN-DBが攻撃者のC2サーバーのIPとドメインを遮断します。
  3. WildFireとAntivirusは、Muhstikマルウェアを識別して遮断します。

侵害の痕跡(IOC)

サンプル

  • e538026c0aa97deb2952afde3f8521be53ffb9ead6b6c349d6cd26942f609335
  • 284f239d39ae24c7210179e4e7dc7c81e2374d12fe675cfd41d35681f3694e5a
  • 53c70f6344246b1abdc2bc3fc3e7b43f853a4773b584805a50f8f71e8eca64e4

URL

  • hxxp://165.227.78[.]159/wl.php

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved