| 不正プログラムを中心としたセキュリティ被害は、クライアントPCでシェアの大きい Windows OS のみで起こるものと考えている方も多いのではないでしょうか。しかし、Linux など他OS においても被害は確実に発生しています。今回トレンドマイクロでは、Linuxサーバーを標的にした「SSHD rootkit」と呼ばれる攻撃の拡散を確認しました。 |
今回確認された攻撃は、一般に Red Hat系とも呼ばれる RPMパッケージ管理システムを使用した Linux(代表例:Red Hat Enterprise Linux、Cent OS など)を攻撃対象としています。被害が拡散している「SSHD rootkit」をトレンドマイクロ製品では「HKTL_SSHDOOR」として検出可能です。
この「SSHD rootkit」は、侵入した Linuxシステム上で活動開始すると、libディレクトリ内の「libkeyutils.so.1.9」を書き換え、root権限を奪い「SSH(セキュアシェル)」をオープンして外部からの遠隔操作を可能にします。遠隔操作の被害としては、感染サーバーがスパムメール送信に利用された事例が確認されています。しかし、root権限による外部からの遠隔操作が可能となるため、サーバー内の情報漏えいや内部ネットワークへのさらなる侵入など、様々な攻撃の足がかりとされる危険性があります。
Linuxシステムは、Windowsシステムに比べて不正プログラム被害の可能性が低いとみなされ、対策が疎かになりがちな場合もあるようです。Linuxシステムを運用している管理者の方は、管理下システムの被害可能性の確認とセキュリティ対策状況の把握を行うことを推奨します。
■簡易的な被害確認方法
現在確認されている被害事例では、「SSHD rootkit」が「libkeyutils.so.1.9」を書き換える形で侵入しています。このため、以下のコマンドの実行により簡易的な感染確認が可能です。
| <チェック1> | |
| コマンド | rpm -qf /lib64/libkeyutils.so.1.9 |
| 実行後表示 | file /lib64/libkeyutils.so.1.9 is not owned by any package |
| ※上記メッセージの表示は感染の可能性が考えられます。 | |
| <チェック2> | |
| コマンド | su -c “updatedb” && locate libkeyutils.so.1.9 |
| 実行後表示 | Password: |
| ※パスワードが要求された場合、感染の可能性が考えられます。 | |
現在確認されている不正プログラムのファイルハッシュは以下となります。
| ファイル名 | libkeyutils.so.1.9 |
| MD5ハッシュ値 | ECEA5CC15532FFAC4B8159BF860C63C1 |
| SHA1ハッシュ値 | 471EE431030332DD636B8AF24A428556EE72DF37 |
| ※トレンドマイクロでは、この「SSHD rootkit」を「HKTL_SSHDOOR」として SSAPIパターン CPR 1.376.08 より検出対応しています。 | |
■トレンドマイクロの対策
トレンドマイクロでは不正プログラムをパターンファイルなどの技術で検出する機能を各製品で提供しています。Linuxサーバ上のウイルス対策製品としては、「Server Protect for Linux(サーバ プロテクト フォー リナックス)」にて提供しています。また、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」ではサーバへの侵入経路として可能性が高いリモートによる脆弱性攻撃を検知、阻止する機能と同時に、仮想環境でのウイルス対策を提供しています。これらの製品や機能を有効活用し、対策を強化することをトレンドマイクロでは推奨します。