検索:
ホーム   »   不正プログラム   »   Linuxサーバーを標的にした「SSHD rootkit」の拡散を注意喚起

Linuxサーバーを標的にした「SSHD rootkit」の拡散を注意喚起

  • 投稿日:2013年2月25日
  • 脅威カテゴリ:不正プログラム, クライムウェア
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

不正プログラムを中心としたセキュリティ被害は、クライアントPCでシェアの大きい Windows OS のみで起こるものと考えている方も多いのではないでしょうか。しかし、Linux など他OS においても被害は確実に発生しています。今回トレンドマイクロでは、Linuxサーバーを標的にした「SSHD rootkit」と呼ばれる攻撃の拡散を確認しました。


今回確認された攻撃は、一般に Red Hat系とも呼ばれる RPMパッケージ管理システムを使用した Linux(代表例:Red Hat Enterprise Linux、Cent OS など)を攻撃対象としています。被害が拡散している「SSHD rootkit」をトレンドマイクロ製品では「HKTL_SSHDOOR」として検出可能です。

この「SSHD rootkit」は、侵入した Linuxシステム上で活動開始すると、libディレクトリ内の「libkeyutils.so.1.9」を書き換え、root権限を奪い「SSH(セキュアシェル)」をオープンして外部からの遠隔操作を可能にします。遠隔操作の被害としては、感染サーバーがスパムメール送信に利用された事例が確認されています。しかし、root権限による外部からの遠隔操作が可能となるため、サーバー内の情報漏えいや内部ネットワークへのさらなる侵入など、様々な攻撃の足がかりとされる危険性があります。

Linuxシステムは、Windowsシステムに比べて不正プログラム被害の可能性が低いとみなされ、対策が疎かになりがちな場合もあるようです。Linuxシステムを運用している管理者の方は、管理下システムの被害可能性の確認とセキュリティ対策状況の把握を行うことを推奨します。

■簡易的な被害確認方法
現在確認されている被害事例では、「SSHD rootkit」が「libkeyutils.so.1.9」を書き換える形で侵入しています。このため、以下のコマンドの実行により簡易的な感染確認が可能です。

<チェック1>
コマンド rpm -qf /lib64/libkeyutils.so.1.9
実行後表示 file /lib64/libkeyutils.so.1.9 is not owned by any package
※上記メッセージの表示は感染の可能性が考えられます。

<チェック2>
コマンド su -c “updatedb” && locate libkeyutils.so.1.9
実行後表示 Password:
※パスワードが要求された場合、感染の可能性が考えられます。

現在確認されている不正プログラムのファイルハッシュは以下となります。

ファイル名 libkeyutils.so.1.9
MD5ハッシュ値 ECEA5CC15532FFAC4B8159BF860C63C1
SHA1ハッシュ値 471EE431030332DD636B8AF24A428556EE72DF37
※トレンドマイクロでは、この「SSHD rootkit」を「HKTL_SSHDOOR」として SSAPIパターン CPR 1.376.08 より検出対応しています。

■トレンドマイクロの対策
トレンドマイクロでは不正プログラムをパターンファイルなどの技術で検出する機能を各製品で提供しています。Linuxサーバ上のウイルス対策製品としては、「Server Protect for Linux(サーバ プロテクト フォー リナックス)」にて提供しています。また、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」ではサーバへの侵入経路として可能性が高いリモートによる脆弱性攻撃を検知、阻止する機能と同時に、仮想環境でのウイルス対策を提供しています。これらの製品や機能を有効活用し、対策を強化することをトレンドマイクロでは推奨します。

Related posts:

  1. 依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を
  2. Cryptoランサムウェア「Chimera」、オンライン上で外部公開すると脅迫
  3. 英有名ニュースサイトのブログからランサムウェア「CrypTesla」が拡散
  4. 2016年の脅威予測-「ネット恐喝」に多くの個人・企業ユーザが直面


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.