Linux などで使用されるオープンソースプログラム「Bourne Again shell(bash)」に存在する脆弱性「Shellshock」により想定される被害の1つは、サイバー犯罪者や攻撃者がこの脆弱性を利用して企業や大規模組織に対して「分散型サービス拒否(DDoS)攻撃」を開始することです。これはすでに現実的となっており、実際、「Shellshock」脆弱性を抱えるサーバを保有するいくつかの機関でボットネットを利用した攻撃があったという報告が出ています。ボットネットとは、感染 PC およびシステムで形成されるネットワークのことです。
トレンドマイクロの解析によると、「ELF_BASHWOOP.A」として検出されるこのバックドア型不正プログラムは、以下のコマンドを実行します。
- kill
- udp
- syn
- tcpamp
- Jdildos
- http
- mineloris
さらに、この不正プログラムは、コマンド&コントロール(C&C)サーバに接続してコマンドを受信します。この C&Cサーバは、「ELF_BASHLITE.A」が利用していたものと同じです。「ELF_BASHLITE.A」は、この脆弱性を利用してシステムに侵入した不正プログラムとして、弊社が最初に確認したものです。この C&Cサーバの IPアドレスは以下のとおりです。
- 89[DOT]238[DOT]150[DOT]154
この不正プログラムに関連したハッシュは以下のとおりです。
- 96498e53200cfb3947cbd5357f6833a1d0605360
また弊社は、「bash」に存在する脆弱性を利用してシステムに侵入した複数の不正プログラムを確認しています。これらの不正プログラムの検出名は以下のとおりです。
- PERL_SHELLBOT.WZ
- ELF_BASHLITE.A
- ELF_BASHLET.A
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術によって、これらの不正プログラムを検出し、関連するすべての不正な URLをブロックします。
トレンドマイクロは、 Deep Discovery Inspector 向けに以下のルールを公開しており、これによりこの脆弱性を利用した攻撃を検知することができます。
- 1618-Shellshock HTTP REQUEST
また、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」は、以下の侵入防御(DPI)ルールによってbashに存在する脆弱性からユーザを保護します。
- 1006256-GNU Bash Remote Code Execution Vulnerability
関連記事:
- 「Shellshock」:どのように被害をもたらすか
/archives/9974 - bashに存在する脆弱性「Shellshock」を利用した攻撃を確認、不正プログラム「BASHLITE」へ誘導
/archives/9959 - bashに存在する脆弱性 「Shellshock」:「CVE-2014-7169」および「CVE-2014-6271」
/archives/9957
「Shellshock」に関する情報は、今後も引き続き更新していきます。「Shellshock」に関する詳細は、「セキュリティブログ」ならびに「Shellshock 特設ページ」もご参照下さい。
参考記事:
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)