本記事では、暗号資産採掘ツール(コインマイナー)によりLinux システムのリソース盗用を狙う様々なサイバー犯罪者たちによる、冷酷な「戦争」について説明します。Linuxのエコシステムは、他のオペレーティングシステムと比べて安全で信頼性が高いとされています。しかし残念ながら、Google、NASA、そして米国国防省など知名度の高い企業や組織でLinuxシステムの採用が広まるにつれ、攻撃対象としてLinuxを狙うサイバー犯罪者も多くなっています。 特に、システムのリソース盗用による暗号資産採掘(不正マイニング)による利益を狙うサイバー犯罪者にとって、Linuxは中心的な攻撃対象となってしまっているようです。本記事ではまた、オープンAPIを備えたアプリケーションとDocker環境に対応したエントリポイントの移り変わりを含む、不正マイニングの攻撃チェーンについても解説します。
■不正マイニング戦争
暗号資産の採掘(マイニング)自体は不正な活動ではありません。この行為は1800年代のゴールドラッシュの際の、一攫千金を狙う人々に例えられます。暗号資産の時価総額が3,500億米ドル(約37兆円)を超えたとされる今、暗号資産はまさにデジタルな「金」と言えるでしょう。マイニングにおいては、ピックやシャベルの代わりにコンピュータを使用し、採掘者の目的は金ではなく、Bitcoin、Monero、Ethereum、Rippleなどの暗号資産です。
しかし残念ながら、暗号資産で一攫千金したいと考えるすべての人が、合法的にマイニングを行っているわけではありません。サイバー犯罪者は、無防備なユーザのシステムにコインマイナーをインストールし、そのコンピューティング能力を無許可で使用することで、不正にマイニングを行います。サイバー犯罪者はこれにより、暗号資産採掘のインフラに投資する必要なく、簡単に利益を得ることが可能になります。
近年、不正なコインマイナーが大規模に増加しており、特にMoneroを対象とするものが多く確認されています。Moneroは、決済の匿名性とプライバシーを提供しており、このことは違法行為での悪用に理想的な条件です。サイバー犯罪者は常に自身の潜在的な収益を最大化しようとします。サイバー犯罪者は、強力なコンピューティング能力を持つ機器に注目し、自身がそのリソースを最大限盗用できるように、自身のもの以外のコインマイナーを削除することまでします。2004年当時猛威をふるった「BAGLE」、「NETSKY」、「MYDOOM」といったマスメーリングワームは、他のワームを削除する活動をお互いに行っていたことから「ワーム戦争」と言われました。近年ではIoTマルウェア間でも同様の「戦争」が確認されていますが、不正コインマイナー同士もそれらに続き感染機器のリソースを奪い合う「戦争」を行っているということになります。
■不正マイニングとの戦い
トレンドマイクロは数年前から、Linuxを狙う不正コインマイナーの増加を追跡および調査してきました。例えば、以前の調査では、感染したコンピュータの監視ツールから不正プロセスを隠すルートキットがバンドルされている、Linuxマルウェアの亜種「KORKERDS」について解析しました。また、感染した機器のセキュリティ設定を弱体化させ、サイバー犯罪者にバックドア型のアクセスを提供する可能性のあるLinuxマルウェア「Skidmap」についても説明しました。
どちらの亜種も、被害者のリソースを利用して金銭的な利益を得るために複雑な技術を駆使する不正コインマイナーと言えます。本記事では、ハニーポットや実際の攻撃から取得した検体に基づいて、より普及しつつあるツールの特性、つまり、感染した機器、コンピュータ、および環境上で他の類似した不正なコインマイナーを無効化および削除する動作について言及していきます。
これまでにトレンドマイクロが解析した様々な検体において、不正コインマイナーが感染後に行う最初の動作のひとつは、競合する他のコインマイナーの検出です。該当するツールを検出した場合、そのツールが実行するプロセスを強制終了し、コンピュータ上からその痕跡を削除して、再び実行できないようにします。
図1:感染機器上で、既存の競合する他のコインマイナーを強制停止させる不正コードの例
トレンドマイクロで確認したような不正なコインマイナーの検体は、Linuxホストコンピュータのみを狙っているわけではありません。サイバー犯罪者は、運用効率を向上させるためにDevOpsに依存する企業が増えるにつれて、企業がDockerやRedisなどの強力なツールを使用している事実に注目し始めました。
解析した検体は、ホストマシン上でリソースを大量に消費するプロセスを検索するだけでなく、展開済みのDockerコンテナも探します。これは自身がホストのコンピューティング能力を最大限に使用するための活動と言えます。
図2:マイニングプロセスを持つDockerコンテナを検索する不正コードの例
サイバー犯罪者たちはまた、感染したDockerやKubernetesを実行するAWSインフラストラクチャをマルウェアで攻撃し、AWSの認証情報を窃取するなど、攻撃の選択肢を広げています。
■オープンAPIにおける不正な暗号資産採掘ツールの感染の流れ
図3:オープンAPIにおける不正コインマイナーの感染の流れ
過去にサイバー犯罪者が使用した一般的な傾向や手法には、一般にホストされているサービスの脆弱性を悪用してコードの実行権限を得るやり方が挙げられます。この手法で、サイバー犯罪者はボット型マルウェアを作成したり、コンピュータ上にコインマイナーをインストールしたりすることが可能でした。最近では、コンテナの拡張やコード実行権限の取得を可能にするオープンAPIの検索を伴う新しい手法が一般的になりつつあります。不正コインマイナーに関しては、オンプレミスデバイスからコンテナやクラウドへの移行が進んでいます。
トレンドマイクロで解析した不正コインマイナーの検体から、コンピュータまたはDockerやRedisなどのプラットフォーム上で露出したAPIを探す手法が明らかになりました。攻撃対象となったユーザのコンピュータ上で、セキュリティ上の弱点を発見した場合、不正なシェルスクリプト、不正活動を含むコンテナもしくはバックドアとなる不正シェルスクリプトを含むクリーンコンテナのいずれか適切なものを展開します。
展開されると、不正スクリプトは環境解析を実行します。実行中のプロセスから競合する不正コインマイナーをはじめ、必要なリソースを消費する他の正規アプリやセキュリティソフトを検索し、該当するものを強制終了してコンピュータ上から削除します。この強制終了と削除には「ps」、「kill」、「rm」などのLinuxの標準コマンドが使用されます。
図4:不正なコンテナペイロードの展開
この最初の不正スクリプトは、不正コインマイナーのバイナリや攻撃に関連するその他のマルウェアの亜種などの必要となるペイロードをダウンロードします。ダウンロードされた不正コインマイナーは、コマンドの履歴とログを削除することで感染の痕跡を隠ぺいします。
トレンドマイクロでは、解析した3つの検体から独自のMoneroウォレットのアドレスを3つ抽出しました。2020年9月3日時点におけるこの3つのMoneroウォレットの情報によれば、当時の相場1XMR=約90米ドル(約9500円)で計算すると、およそ777米ドル(約8万円)を獲得しているようです。
図5:不正コインマイナー検体から判明した3つのMoneroウォレットの情報
このように、これまでにトレンドマイクロが行ってきた不正コインマイナーの解析からは、その活動がますます巧妙さを増していっていることがわかります。その1つの例が、競合する他のコインマイナーを強制停止させる能力であると言えるでしょう。マイニングに必要なリソースへの需要が高まるにつれて、感染環境のリソースを最大限に活用するための障害となる他のコインマイナーなどの存在を一掃したいと考えていることがわかります。システム管理者は、特にサーバ、データベース、アプリケーション開発フレームワークなどの重要な企業機能を扱う Linux システムにおいて、不正マイニングを狙う攻撃の侵入が重大なパフォーマンス問題を引き起こす可能性があること、そして不正マイニングで使用される不正コインマイナーの脅威を防ぐことの重要性を認識しておく必要があります。
■被害に遭わないためには
IT管理者およびシステム管理者は、システム、デバイス、そして環境を安全に保つために、最小権限の原則の実施、定期的なパッチの適用とシステムの更新、多要素認証の使用、検証済みのセキュリティ拡張機能の使用、アクセス制御ポリシーの活用など、セキュリティ上のベストプラクティスを採用することを推奨します。Docker やRedisなどのプラットフォームが作成したセキュリティガイドラインに従うだけでなく、APIの設定、リクエストが特定のホストや内部ネットワークから送信されていること、そして定期的にホストをスキャンしてポートが開いていないかどうかを確認し、SSHアクセスを制限することも重要です。
■トレンドマイクロの対策
トレンドマイクロは、Linux環境を始めとして、物理、クラウド、仮想化、コンテナ、サーバレスなどさまざまな形態で利用されるワークロードを包括的に保護するハイブリッドクラウドセキュリティ製品群として、「Trend Micro Deep Security™」、「Trend Micro Cloud One™」シリーズを提供しています。
「Trend Micro Cloud One™ Application Security」は、コードの脆弱性、サーバ上のデータ流出、およびその他のアプリケーションレベルの一般的な脆弱性攻撃への保護を提供します。幅広いアーキテクチャとネットワークトポロジに製品を導入できるため、アプリケーションのエンドユーザと機密データを保護できます。主要なポイントでお客さまのフレームワークに自動的に接続し、悪用しようとする試みを検出してハッキングを阻止し、脆弱性を保護します。
「Trend Micro Cloud One™ Conformity」は、システムに重大な影響を及ぼす可能性があるクラウドの設定ミスを見つけてより早く修復します。業界のコンプライアンス標準とクラウドセキュリティのベストプラクティスのルールに照らした何百もの自動化されたチェックによって、クラウドインフラストラクチャのためのセキュリティおよびコンプライアンスを継続的に支援します。
「Trend Micro Cloud One™ Workload Security」(クラウド管理型)および「Trend Micro Deep Security™」(オンプレミス管理型)は、仮想、物理、クラウド環境やそれらのハイブリッド環境を防御します。インスタンスを自動で検出し、エージェントを展開することで、クラウド環境全体を可視化し、保護します。
このほか、トレンドマイクロのセキュリティプラットフォーム「Trend Micro Cloud One™」シリーズには、以下の製品・サービスが含まれています。
- Container Security: コンテナイメージを自動的にスキャンし、セキュアなCI/CDパイプラインを実現
- File Storage Security: クラウドファイル、オブジェクトストレージサービスのためのセキュリティ
- Network Security: マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
■侵入の痕跡(Indicators of Compromise 、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)は、こちらを参照してください。
参考記事:
By Alfredo Oliveira, David Fiser
翻訳:下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)