SpeakUp Linuxトロイの木馬は、サイレントバックドアトロイの木馬として分類されているため、過去数週間で最も危険な脅威の1つです。. アクティブなセキュリティソリューションをうまく回避することができ、確認されたキャンペーンは、人気のあるディストリビューションの脆弱性に対して向けられていることを示しています. 現在、攻撃は主にラテンアメリカのサーバーに集中しています, 東アジアとAWSインスタンスも含まれます.
Speakup Linuxトロイの木馬の脅威—進行中の攻撃について私たちが知っていること
感染を引き起こす主な方法は、ThinkkPHPのバグであり、 CVE-2018-20062アドバイザリ これは次のようになります:
NoneCmsV1.3で問題が発見されました. thinkphp / library / think / App.phpを使用すると、リモートの攻撃者は、フィルターパラメーターを巧妙に使用して任意のPHPコードを実行できます。, s = index / think Request/inputで示されるように&filter = phpinfo&data=1クエリ文字列.
脆弱なサービスが実行されると、SpeakUp Linux Trojanは巧妙に細工されたネットワーク要求を実行し、感染の成功につながります. 明確な特徴は、ローカルネットワーク上の到達可能なマシンをスキャンできるPythonベースのスクリプトの実行です。. これは、特定の脆弱性を探すために行われます—マルウェアコードは、リモートコード実行のバグをトリガーしようとすることでそれらに感染しようとします. 現在のキャンペーンは以下の脆弱性を対象としています:
- CVE-2012-0874 — JBoss EnterpriseApplicationPlatformの複数のセキュリティバイパスの脆弱性
- CVE-2010-1871 — JBossSeamFrameworkのリモートコード実行
- JBoss AS 3/4/5/6 —リモートコマンド実行
- CVE-2017-10271 — OracleWebLogicwls-wsatコンポーネントの逆シリアル化RCE
- CVE-2018-2894 — OracleFusionMiddlewareのOracleWebLogicServerコンポーネントの脆弱性
- Hadoop YARN ResourceManager —コマンドの実行
- CVE-2016-3088 —ApacheActiveMQファイルサーバーファイルアップロードリモートコード実行の脆弱性
現在の攻撃は東アジアとラテンアメリカにあるマシンに対して設定されていることが確認されました. 研究者たちはまた、AWSがホストするサービスも影響を受けていることを発見しました. さらに危険なのは、コードが適切なコードを使用して記述されているためです。 Macマシンにも感染する可能性があります.
SpeakUpLinuxトロイの木馬の感染能力と観察された動作
侵入の試みが成功するとすぐに、悪意のあるスクリプトがプルします ibusペイロード に注入される “tmp” 位置. そこから実際のバックドアが実行されます. リモートサーバーからPerlスクリプトを取得し、2秒の遅延後に実行するようにプログラムされています. 感染の証拠と経路を見つけることができないようにするために、元のファイルは削除されます. この第2段階のペイロードは、エンコードされたメモリを使用して目的の機能を実行します。これは、ストリームをリアルタイムでデコードせずに分析を実行できないようにするために行われます。.
事実上 セキュリティバイパス 被害者のコンピュータに強制されます—ウイルスのインストールが遅れ、ウイルス対策プログラムによって実行される一般的なヒューリスティックスキャンを回避します. さらに、メモリ操作がエンコードされているため、セキュリティソフトウェアがプロセスを読み取って、脅威が存在することを識別できない場合があります。. 事実上、この戦略を使用して、エンジンまたはアプリケーションを完全に削除できます。. 影響を受けるプログラムのリストには、アンチウイルスプログラムが含まれます, ファイアウォール, 侵入検知システム, 仮想マシンホストとサンドボックス環境.
SpeakUp Linuxトロイの木馬の主な目的は、ハッカーが制御するサーバーへの安全な接続を確立することです。. それは本質的に犯罪者がコマンドを実行することを可能にします, その多くはエンジンに組み込まれています. 必要なのは、必要な引数をローカルサービスに渡すことだけです。. 分析によると、通信は定期的に行われ、次のようにラベル付けされています。 “ノック”. SpeakUp Linux Trojanは、内部を指定することにより、一度に1つのインスタンスのみが実行されるようにします。 ミューテックス署名. ハッカーのオペレーターが利用できるコマンドのいくつかは、ネットワーク分析によってキャプチャされています:
- 新しい仕事 —このコマンドは、感染したマシンでハッカーがアップロードしたコードまたはファイルを実行します. また、リモートサービスからファイルをダウンロードして実行するようにホストに指示するためにも使用されます. その他の可能なタスクには、実行中のプロセスの強制終了またはアンインストールが含まれます. 最新のステータスレポートをマシンからリクエストすることもできます.
- 聞かない —これにより、ローカルのSpeakUp Linux Trojanインスタンスがスリープ状態になり、追加のコマンドを起動するためにサーバーがフォローアップされます。.
- newerconfig —これにより構成ファイルが更新されます.
主な目標の1つは、 暗号通貨マイナー. これは、これらの小規模なアプリケーションが集中的なタスクを実行することによってハードウェアリソースを活用する、過去数年間の傾向です。. CPUに大きな負荷がかかります, GPU, メモリとハードディスクの空き容量. それらの1つが完了するたびに、ハッカーのオペレーターはウォレットに直接配線されるデジタル通貨を受け取ります.
この情報は、現在のバージョンで構成されているウイルスサンプルの現在のバージョンとアクティビティを表しているにすぎないことを読者に思い出させます。. 将来のバージョンでは、動作パターンが大きく異なる可能性があります.