最近の SamSam による大規模なランサムウェア キャンペーンによって、ランサムウェアの配布における脅威の状況が一変しました。サーバの脆弱性を標的とするランサムウェアの拡散によって、すでに流行しつつある脅威は新たな次元へ突入しています。最近のカスタマー エンゲージメントをもとにシスコの IR サービス チームから提供された情報をふまえ、私たちは JBoss が侵入経路の起点として用いられている点に注目して調査を始めました。まず、インターネット上の脆弱な端末を探すことから始めたところ、リスクのある端末が約 320 万台もみつかりました。
さらに私たちは、すでに侵害され、ランサムウェアのペイロードに対して潜在的な待機状態となっている端末についても調査を行いました。結果、1,600 個近い IP アドレスにわたって、2,100 を超えるバックドアがインストールされていることが確認されたのです。ここ数日の間に、Talos は、学校、政府、航空会社など、影響を受ける関係各所への通知を行っています。
これらのシステムの中には、Follett 社の「Destiny」というソフトウェアがインストールされているものが複数ありました。Destiny は、主に幼稚園や小中高校で世界的に使用されている、学校図書館用の図書管理システムです。Follett 社に問い合わせたころ、バージョン 9.0 ~ 13.5 の全システムにパッチを適用可能で、さらにシステム内の Destiny 関連以外のファイルをキャプチャしてシステム上の既存のバックドアの排除を図ることもできる、優れたパッチング システムについての説明を受けました。その上で、システム内に疑わしいファイルが見つかったすべての顧客には Follett 社のテクニカル サポートが連絡を取っています。今回の脅威の影響が広範囲に及んでいることをふまえると、すべての Destiny ユーザが確実にこのパッチを適用し、保護を受けられることが必要です。
以下は、Follett 社より共有依頼を受けたものです。
弊社内部システムのセキュリティ監視と手続きに基づき、Follett は問題を特定し、お客様に代わって脆弱性への対処と解決に向けた行動を即座に開始しました。
Follett は、データ セキュリティを大変重要なものと認識しています。そのため、脅威の有無を確認する目的でシステムやソフトウェアを継続的に監視するとともに、技術環境の強化およびクライアントのリスクの最小化に努めています。
今回の調査の一環として、Talos と Follett 社は継続的な連携によって、侵害されたサーバ内でみつかった Webshell を解析し、お客さまのネットワークを保護する最適な方法を確実に通知できるよう努めていきます。
調査の中で、被害を受けた JBoss サーバの多くに 1 つ以上の Webshell が存在していること、また、ジョブのステータス ページのコンテンツをレビューすることが重要であることを確認しました。「mela」、「shellinvoker」、「jbossinvoker」、「zecmd」、「cmd」、「genesis」、「sh3ll」などのバックドア、さらにおそらくは「Inovkermngrt」、「jbot」なども含む、複数の異なるバックドアが確認されました。これは、被害対象のシステムの多くがさまざまな攻撃者によって複数回侵入されたことを示しています。
Webshell に関しては、US-CERT が次のアドバイザリを公表しています。
https://www.us-cert.gov/ncas/alerts/TA15-314A
Webshell は、深刻なセキュリティ問題です。Webshell の存在は、そのサーバにすでに攻撃者が侵入し、リモートで制御される可能性があることを意味します。そしてその結果、侵害されたWeb サーバを中心に、内部ネットワーク内を移動される恐れがあるのです。
侵害されたホストは、様々な方法で悪用される恐れがあり、こうした問題の深刻さを考えると、該当のホストは即座に停止される必要があります。これらのサーバは JBoss をホストしていますが、JBoss は、最近目立ちつつあるランサムウェア キャンペーンでも使われています。
シェルのソフトウェアについては、こちらから確認できます。
推奨される修復方法
もしもサーバ内に Webshell がインストールされていることが判明した場合は、いくつかの措置が考えられます。まず推奨したいのは、外部からサーバへのアクセスを可能な限り制限して、攻撃者がリモートでサーバにアクセスするのを防ぐことです。さらに、システムにイメージの再適用を行い、更新済みバージョンのソフトウェアをインストールできれば理想的です。攻撃者によるサーバへのアクセスを確実に阻止するには、これが最も適切な方法です。何らかの理由により完全な再構築ができない場合の次善策は、侵害される前のバックアップから復元することです。復元後は、実働に復帰させる前に、サーバを脆弱ではないバージョンにアップグレードします。
Follett Destiny のユーザは、自動アップデートの通知に注意し、パッチが正常に適用されたことを確認してください。Follett 社によると、このプロセスにより、不要なバックドアのシェルが削除されるとのことです。
また、通常通り、評価の高いウイルス対策ソフトウェアを実行することも推奨されます。
まとめ
被害を受けたサーバは 2,100 台近くにのぼります。侵害方法についてはさまざまなシナリオが存在しますが、これらすべてに共通しているのは、パッチの適用が必要だということです。パッチの適用は、ソフトウェアのメンテナンスにおける重要な要素です。しかし、ソフトウェアのユーザ、そしてメーカーもがそれを無視してしまうということが、あまりにも多く起こっています。一連の取組みの中で過失があれば、それがどこであろうと、このタイプの攻撃を成功させてしまうことにつながります。ランサムウェアが追加されることによって、企業規模の大小を問わず、その潜在的な被害は甚大なものとなる恐れがあるのです。
痕跡
このリストは、現時点では包括的ではありませんが、今後他の痕跡を見つけるベースになるものです。これらの痕跡には、さまざまな Webshell や関連するツールが残したもの、もしくは現存するものが含まれます。
jbossass.jsp | jbossass_jsp.class |
shellinvoker.jsp | shellinvoker_jsp.class |
mela.jsp | mela_jsp.class |
zecmd.jsp | zecmd_jsp.class |
cmd.jsp | cmd_jsp.class |
wstats.jsp | wstats_jsp.class |
idssvc.jsp | idssvc_jsp.class |
iesvc.jsp | iesvc_jsp.class |
カバレッジ
以下の Snort ルールがこの脅威に対応しています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールの追加や変更がある場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール
- JBoss サーバの脆弱性:18794、21516 ~ 21517、24342 ~ 24343、24642、29909
- Web Shell:1090、21117 ~ 21140、23829、23830、27729 ~ 27732、27966 ~ 27968、28323、37245
- Samas:38279、38280、38304、38360、38361
さらに、Advanced Malware Protection(AMP)は、標的となったシステムでの、このマルウェアの検出と、実行防止に役立ちます。
ネットワーク セキュリティには IPS および NGFW が含まれています。いずれも、この攻撃による悪意のあるネットワーク アクティビティを検出する最新のシグニチャを備えています。
本稿は 2016年4月15日に Talos Group のブログに投稿された「WIDESPREAD JBOSS BACKDOORS A MAJOR THREAT」 の抄訳です。