攻撃者は、実行中のDockerコンテナ環境を狙い続けています。トレンドマイクロは最近、「Alpine Linux」をベースイメージとして使用して構築されたDockerコンテナで、不正な暗号資産発掘ツールと分散型サービス拒否(DDoS)ボットネットの両方を作成する攻撃を確認しました。トレンドマイクロでも2020年5月に同様の攻撃を調査しましたが、その際にも攻撃者は不正なAlpine Linuxコンテナを作成して、不正な暗号資産発掘ツールとDDoSボットをホストしていました。以下の図は、この攻撃における感染の流れを表しています。
トレンドマイクロでは最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバを狙う活動を確認しました。確認されたマルウェアは分散型サービス妨害(DDoS 、Distributed Denial of Service)の実行を目的とした「XORDDoS」(トレンドマイクロでは「Backdoor.Linux.XORDDOS.AE」として検出)と「Kaiji」(トレンドマイクロでは「DDoS.Linux.KAIJI.A」として検出)です。 (さらに…)
続きを読む企業が利用するシステムにおける設定の不備は特に珍しいことではありません。しかしながら、サイバー犯罪者は、そのような設定の不備を、不正な目的のために企業のコンピュータリソースを盗用するための効果的な手段として捉えています。実際、設定の不備はサイバーセキュリティにおける重大な懸念事項の1つとしていて問題視され続けてきました。本記事では、人気のあるオープンソースのDevOpsツール「Docker Engine」のコミュニティ版における、APIの設定不備を狙う攻撃について解説します。この設定の不備により、攻撃者は狙ったコンピュータに不正なコンテナを潜り込ませて、Linuxを対象とするボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.DOFLOO.AA」として検出)を実行することが可能になります。このマルウェアの亜種は、トレンドマイクロが設置したハニーポットから検出されました。
(さらに…)
ボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.AESDDOS.J」として検出)が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。
弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。
- 分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃
- 遠隔からのコード実行(Remote Code Execution、RCE)
- 仮想通貨の発掘
2018 年 2 月末に報告された増幅型の「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」で、分散型メモリキャッシュシステム「memcached」を利用する新しい手法が確認されました。DDoS 攻撃で利用されるプロトコルといえば「Domain Name System(DNS)」、「Universal Plug and Play(UPnP)」、「Session Description Protocol(SDP)」、「Network Time Protocol(NTP)」などが一般的です。しかし、memcached を利用すると、過去に確認された DDoS 攻撃よりもはるかに大規模な攻撃を実行される恐れがあります。memcached はデータベースへのアクセスに関連した冗長な処理を削減することでデータへのアクセスを高速化しますが、残念なことにこのような memcached の特徴が DDoS 攻撃の増幅にも威力を発揮することが確認されました。
続きを読む2016年10月21日、DNSサービスプロバイダ「Dyn」が、「分散型サービス拒否(distributed denial-of-service、DDoS)」の大規模な攻撃を受けたことが大きく報道されました。この事例ではセキュリティ対策が不十分な IoT機器に感染した不正プログラムが DDoS攻撃の大部分を占めたものとされています。IoT機器経由での攻撃が、インターネットを支えるインフラストラクチャの重要部分を機能停止させ、それに伴い多くの大手サイトが利用不能となったことは、「モノのインターネット(Internet of Things、IoT)」のセキュリティ確保に関する重大な警告となりました。
続きを読む今までに何度か耳にしている話ですが、「分散型サービス拒否(DDoS)攻撃」では様々な基本的インターネットプロトコルが攻撃に利用されています。今回は、正確な現在時刻を習得するためのプロトコル「Network Time Protocol(NTP)」が DDoS攻撃に利用されている事例です。1月10日、US-CERT は、NTP を利用した「DoSリフレクション(DRDoS)攻撃」について報告しました。日本でもこれを受けて JPCERT/CC から同様の報告が行われています。
NTP は、DNS や HTTP と比較すると、あまり知られていませんが、それらと同様に重要なプロトコルです。NTP は、ネットワークに接続された複数の端末間で時刻を同期するために使用されます。NTP が無いと、PC の時刻設定を手動で行わなければいけなかった時代へ戻ることになります。これらの攻撃に対する対策法は、10年前から知られています。しかし残念なことに、そのような対策法は十分に採用されていないと考えられます。
続きを読む