bash の「Shellshock」脆弱性が公表されて以来、この脆弱性を利用する攻撃が多く観測されていることは本ブログでも既にお伝えしています。トレンドマイクロでは全世界で発生している Shellshock脆弱性を狙う攻撃の観測を続けていますが、その中で日本国内にある機器を狙うものも確認されました。
トレンドマイクロの日本国内における脅威解析機関であるリージョナルトレンドラボ(RTL)では、どのような攻撃が日本に対して行われているかを把握するべく、Shellshock脆弱性攻撃の詳細解析を行いました。観測されている攻撃では、公開サーバの Shellshock脆弱性を攻撃し、特定の不正サイトから 4種類の不正プログラムをダウンロードさせることがわかりました。脆弱性攻撃から実行されるシェルコマンドにより、不正サイトからローカルの /tmpに不正なシェルスクリプトをダウンロードし実行します。不正なシェルスクリプトは、同じ不正サイトから以下の 4種類の不正プログラムを次々とダウンロードし実行します。
- PERL_KAITEN.A
- ELF_KAITEN.A
- OSX_KAITEN.A
- BKDR_PERLBOT.SMO
Linux/UNIX、Mac OSX と感染対象となる OS が異なる不正プログラムを次々にダウンロードし実行するその挙動から、ある特定の機器を事前に知り尽くしたうえで行われている攻撃ではなく、Shellshock脆弱性の影響を受けるあらゆる機器を攻撃しようとしていることが推測できます。また、コマンド(指令)を定期的に実行させるために使われる crontabコマンドにより、これらの不正プログラムを 1週間に 1度再実行させるスケジュールも登録します。
これらの不正プログラムはバックドア機能を持つと同時に、別のシステムに対して DDoS攻撃を行う機能を持っており、攻撃者が脆弱性を持ったサーバを遠隔操作し DDoS攻撃の踏み台として利用しようとする意図が見られます。侵入する不正プログラムは異なりますが、DDoS攻撃の踏み台という目的は、本ブログで既報の海外で確認されている他の攻撃 と一致します。また、この日本に対する攻撃の調査においては、確認した攻撃パケットが Webサーバのような公開サーバではなくネットワークに接続されたハードディスクである NAS(Network Attached Storage)に着弾していた事例を確認しています。bash は Linux で標準のコマンドシェルであることから、たとえば IoE(Internet of everything)端末のような Linuxをベースにした様々な機器にもリスクがある点を注意喚起してきました。現時点では当該 NAS上で不正プログラムの実行が成功しているかどうかは確認できていませんが、Linuxベースの組み込み機器に対する攻撃が確認できた特徴的な事例と言えます。これまでも注意喚起されていますが、組み込み機器に Linuxを採用している機器についても影響がある場合には修正が必要です。
トレンドマイクロのクラウド型セキュリティ基盤である「Trend Micro Smart Protection Network」の統計データから、今回確認されている不正プログラムのダウンロード元である不正サイトには 130件以上のアクセスが確認されました。これらのアクセスが Shellshock脆弱性への攻撃に起因するものかどうかは断定できませんが、日本国内の IPアドレスからのアクセスが全アクセスの 30%を越えて最も多いことから、日本を主な標的とした攻撃と言えます。
このように、インターネットからアクセス可能な環境に対しては、Shellshock脆弱性のスキャンとそれに続く攻撃がいつ来てもおかしくない状況ということが言えます。公開サーバ、特に CGI環境を使用した Webサーバや SSH を使用可能な公開サーバは優先的に対策を進めることを推奨いたします。また、NASなど Linux組み込み機器についても脆弱性の影響を受けるかどうかの情報を確認し、修正が行えない場合には一時的にでもインターネットからアクセスできないようにする必要があるでしょう。
■トレンドマイクロの対策
今回の攻撃で確認された不正プログラムは、SPNの機能である「ファイルレピュテーション(FRS)」技術により既に検出対応を行っています。
トレンドマイクロの NAS向け組み込み型ソリューション「Trend Micro NAS Security」を導入した NAS では FRS技術によるウイルス検出機能で不正プログラムの侵入を防護します。
不正プログラムのダウンロードサイトなど、今回の攻撃に関連する不正サイトについては、「Webレピュテーション(WRS)」技術により、Web サイトへのアクセスをブロックします。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のユーザは、「DSRU14-028」に更新し以下のフィルタを適用することにより、「Shellshock」脆弱性への攻撃からサーバを保護することが可能です。
- 1006256-GNU Bash Remote Code Execution Vulnerability
同様に、家庭内の IoEデバイスを守る新しいセキュリティ技術「Trend Micro Smart Home Network」でも「Shellshock」脆弱性への攻撃からの保護が可能です。
「Deep Discovery Inspector」では以下のルールを公開しており、これにより「Shellshock」脆弱性を利用した攻撃を検知することができます。
- 1618-Shellshock HTTP REQUEST
また、Webサイトの改ざん対策として、「Trend Micro Deep Security」の変更監視機能とセキュリティログ監視機能を活用することで、改ざん被害を早期に可視化し、迅速な対応に繋げることが可能です。
「Shellshock」に関する詳細は、「セキュリティブログ」ならびに「Shellshock 特設ページ」もご参照下さい。
関連記事:
- bashに存在する脆弱性「Shellshock」を利用したボットネットによる攻撃を確認
/archives/9983 - 「Shellshock」:どのように被害をもたらすか
/archives/9974 - bashに存在する脆弱性「Shellshock」を利用した攻撃を確認、不正プログラム「BASHLITE」へ誘導
/archives/9959 - bashに存在する脆弱性 「Shellshock」:「CVE-2014-7169」および「CVE-2014-6271」
/archives/9957