ShellBot Cracks Linux SSH Servers, Debuts New Evasion Tactic
2023/10/14 DarkReading — ShellBot マルウェアを操り Linux SSH サーバを狙うサイバー攻撃者たちが、新たな手法である 16 進数 IP (Hex IP) アドレスを用いて、振る舞いベースの検出を回避し、その活動を隠していることが判明した。AhnLab Security Emergency Response Center (ASEC) の研究者たちによると、この脅威アクターは、従来のドット付き10進数 Command-and-Control URL 形式 (hxxp://39.99.218[.]78) を、Hex IP アドレス形式 (hxxp://0x2763da4e/など) に変換することで、大半の URL ベースの検出シグネチャを回避しているという。
Hex IP 攻撃に関する ASEC のアドバイザリには、「IP アドレスは、ドット付きの 10進数以外の形式であっても、10進数や 16進数などで表記が可能であり、広範に使用されている Web ブラウザとの互換性がある。ShellBot はダウンロードに curl を使用し、Web ブラウザと同様に 16進数をサポートしているため、Linux システム環境で正常にダウンロードされ、Perl を通して実行される」と詳述されている。
ShellBot (別名:PerlBot) は、辞書攻撃を使って SSH 認証情報の脆弱なサーバーを侵害する、ボットネットとして有名である。侵害に成功した ShellBot は、分散型サービス拒否 (DDoS) 攻撃や、クリプトマイナー・ペイロード投下などのために、サーバ・エンドポイントを操作する。
ASEC は、「ShellBot がインストールされていれば、脅威アクターからコマンドを受信した後に、Linux サーバを DDoS ボットとして使用して、特定のターゲットに対して DDoS 攻撃を行うことが可能になる。さらに脅威アクターは、さまざまなバックドア機能を使用して、侵害したサーバに追加マルウェアをインストールし、各種の攻撃を仕掛けることもできる」と説明している。
ShellBot の攻撃から組織を守るために、管理者たちに推奨されるのは、パスワードの衛生管理の強化/強力なパスワードの使用/認証情報の定期的なローテーションの強化などである。
Hex IP アドレスで C2 通信という、新たな手口を用いるマルウェアの登場です。本文中の解説が、とてもシンプルですが、それだけシンプルな話なのでしょう。そのような表記でも、広範に利用されている Web ブラウザとの互換性があるとのことですが、こういう言い方からは、Chromium 系全体が該当するのだろうと推測できます。よろしければ、カテゴリ Malware を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.