- Cisco Talos は、XorDDoS と呼ばれる既存の分散型サービス妨害(DDoS)マルウェアが 2023 年 11 月から 2025 年 2 月にかけて世界中に拡散し続けていたことを確認しました。
- 重要な調査結果として、同期間に行われた XorDDoS を使用した攻撃の 70% 以上が米国を標的としていたことが判明しています。
- マルチレイヤーコントローラ、XorDDoS ビルダー、コントローラ バインディング ツールの言語設定から、攻撃者は中国語を話す人物である可能性が高いと考えられます。
- Talos は、「VIP バージョン」と呼ばれる最新バージョンの XorDDoS コントローラと、それに対応する中央コントローラが、より高度で広範囲な攻撃のための DDoS ボットネットワーク構築に使用されていたことを突き止めました。
- Talos の分析では、中央コントローラ、サブコントローラ、XorDDoS マルウェア間のネットワーク接続を明らかにすることで、XorDDoS トロイの木馬のネットワークパターンを可視化しています。この可視化が、XorDDoS の標的になっていることに被害者が気づく一助となる可能性があります。
Linux を狙う XorDDoS トロイの木馬の傾向と被害状況
XorDDoS トロイの木馬は、Linux マシンを標的として乗っ取り、攻撃を実行する「ゾンビボット」へと変貌させる有名な DDoS マルウェアです。2014 年
に初めて特定され、2015 年にはサブコントローラが発見されました。XorDDoS コントローラとビルダーのユーザーインターフェイスと説明書が簡体字中国語であることから、Talos は攻撃者が中国語を話す人物である可能性が高いと判断しています。
2020 年から 2023 年にかけて、XorDDoS の感染率が大幅に増加しました。この傾向は、XorDDoS が世界中で広く拡散していることだけでなく、XorDDoS のコマンドアンドコントロール(C2)インフラストラクチャに関連する悪意のある DNS リクエストが増加していることにも起因しています。このトロイの木馬は、一般的に外部に公開されている Linux マシンを標的とするだけでなく、Docker サーバーにもその攻撃範囲を拡大し、感染したホストをボット化しています。XorDDoS は、標的デバイスへのリモートアクセスを取得するために、セキュアシェル(SSH)ブルートフォース攻撃を行う戦略を採用しています。有効な SSH ログイン情報を取得すると、攻撃者はルート権限を利用してスクリプトを実行し、侵害されたデバイスに XorDDoS をダウンロードしてインストールします。
すでに多くのセキュリティベンダーがこれらの攻撃に対するソリューションや検出方法を提供していますが、Talos は依然として XorDDoS マルウェアを送り込もうとする試みを観測し続けています。
図 1. Cisco Secure Firewall の月次マルウェア接続検出統計
2023 年 11 月から 2025 年 2 月にかけて、XorDDoS が引き続き世界的な影響を及ぼしていることを Talos は確認しました。侵害を受けた被害者の約 50% は米国に集中しています。さらに、侵害を受けたシステムが、スペイン、米国、台湾、カナダ、日本、ブラジル、パラグアイ、アルゼンチン、英国、オランダ、イタリア、ウクライナ、ドイツ、タイ、中国、インド、イスラエル、ベネズエラ、スイス、シンガポール、フィンランド、オーストラリア、サウジアラビア、フランス、トルコ、アラブ首長国連邦、韓国など、複数の国を標的として攻撃を試みていたことも確認しています。
図 2. XorDDoS によって実際に侵害されたマシンの地域別の割合
Talos は Cisco Secure Network/Cloud Analysis を用いて、侵害されたマシンを利用して分散型サービス妨害(DDoS)攻撃を仕掛ける攻撃者の活動を観察しました。攻撃は世界規模で行われています。注目すべき点として、XorDDoS を用いた攻撃の 70% 以上が米国で発生していることが判明しました。
図 3. XorDDoS 攻撃の標的となった地域の割合
感染チェーン
XorDDoS は長年にわたり、SSH ブルートフォース攻撃によって拡散してきました。XorDDoS は、多数のルートログイン情報の組み合わせを試行する悪意のあるシェルスクリプトを数千台のサーバーに展開し、標的の Linux デバイスへのアクセスに成功するまで攻撃を続けます。XorDDoS はマシンに侵入すると、システム起動時に自動的に実行されるよう永続性メカニズムを実装し、セキュリティ製品による検出や駆除を回避します。永続性を維持するために、マルウェアは init スクリプトと cron ジョブスクリプトをインストールします。これらのスクリプトはマルウェア内部に埋め込まれており、過去の報告で概説されている動作と一致する動作を実行します。
図 4. トロイの木馬に埋め込まれた init スクリプトと cron スクリプト
XorDDoS マルウェアの最新バージョンは、埋め込まれた設定を復号するために、同じ復号関数と XOR キー「BB2FA36AAA9541F0」を使用し続けています。復号された URL や IP アドレスはリモートリストに追加されます。このリストは C2 サーバーとの通信を確立し、サーバーからコマンドを取得するために使用されます。Talos は CyberChef を用いて、サンプルの 1 つを復号することに成功しました。
図 5. CyberChef を使用した Talos による復号
XorDDoS の新しいサブコントローラと中央コントローラ
XorDDoS のサブコントローラは 2015 年に公開されましたが、攻撃は過去 10 年間にわたって継続しています。2015 年のパネルは最も古いバージョンであるバージョン 1.4 用でしたが、現在は攻撃者によって使用されていないようです。2024 年、Talos は XorDDoS サブコントローラの新しい「VIP」バージョンを発見しました。このバージョンは、2017 年に初めて確認された XorDDoS トロイの木馬の「VIP バージョン」を制御することができます。最新バージョンの XorDDoS サブコントローラとトロイの木馬ビルダーの調査結果に基づいて、このコレクションは販売用に開発された製品スイートだと Talos は考えています。
図 6 は、XorDDoS トロイの木馬のサブコントローラとビルダーのスクリーンショット(翻訳を付記)です。ビルダーには新機能の説明も含まれており、販売を目的とした製品であるという Talos の評価を裏付けています。XorDDoS トロイの木馬ビルダーの VIP バージョンには新機能の説明が含まれています。図 7 の説明を翻訳すると、「強制切断に対する安定した接続維持機能、100% のパケット送信、1 万以上の同時接続でもラグが発生しないように修正。ドメインオンラインと IP オンラインに対応、新しいパケット送信コードを搭載、セキュリティ対策を突破する機能を最適化。リソース使用の最適化により、1024 パケットの送信が可能」となります。
図 6. VIP バージョンのサブコントローラ
図 7. XorDDoS トロイの木馬ビルダーの VIP バージョンの機能説明
Talos は、サブコントローラの新バージョンを確認しました。Talos ではこれを「中央コントローラ」と呼んでいます。この中央コントローラは XorDDoS トロイの木馬向けに特別に作成されたものであり、複数の XorDDoS コントローラを同時に管理できるようになっています。新バージョンの中央コントローラを使用することで、サイバー犯罪者は攻撃をより効率的に調整して実行できます。これは、攻撃者の戦術と能力が進化していることの表れです。
図 8. 各サブコントローラを制御する中央コントローラの例
中央コントローラは、XorDDoS コントローラに DLL ファイルを挿入するコントローラバインダーを生成して、ネットワーク接続とコマンド操作をサブコントローラにバインドします。これにより、中央コントローラがサブコントローラを完全にリモート制御できるようになります。
図 9. ジェネレータの設定
コントローラバインダーは中央コントローラとの接続を確立します。ホスト上でコントローラバインダーを実行すると、コントローラのプロセス名を入力することで、プロセスインジェクションによって制御を奪うことができます。この単純な戦略により、複数のコントローラに同時に DDoS コマンドを送信できます。Talos はこの中央コントローラから 2 つの注目すべき事実を観察しました。まず、中央コントローラを開くと、ミッションリストの列に機能の説明が表示されます。これを翻訳すると、以下のようになります。
- SYN パケットの長さを確認し、パケットのサイズを大きくします。そうでないと、小さなパケットになります。
- ラウンドロビン攻撃は、オンラインになっているすべてのホストによって実行されるタスクです。
- ホストを選択し、テストモードをクリックします。これは、単一のホストがパケットを送信することを意味します。
- 複数の測定モードを選択することはできません。一度に選択できるのは 1 つだけです。
- ラウンドロビン攻撃は手動で停止する必要があります。
- 1024 個のパッケージをサポートしていますが、対応するサブコントローラが必要です。
- 闇市場で出回っているバージョン 1.4 および 1.8 のサブコントローラでは、中央コントローラを使用して 1024 個のパッケージを送信することはできません。
次に、コントローラの作成者は、中央コントローラに Tencent QQ インスタントメッセージの連絡先番号とニックネームを残しており、さらに闇市場で出回っている他のサブコントローラのバージョンについても言及しています。これは、これらのツールが販売用であるという Talos の評価をさらに裏付けるものです。
図 10. 中央コントローラとコントローラバインダー
高度な XorDDoS トラフィック分析
Talos によるこれらの新ツールの詳細な分析から、サイバー犯罪者が XorDDoS トロイの木馬の開発と展開に引き続き投資しており、より高度で広範囲な攻撃を可能にしていることが示唆されています。攻撃の制御フロー全体は、攻撃者の適応力としぶとさを示しており、この種のサイバー犯罪に対抗することが依然として困難である状況が浮き彫りになっています。Talos は、サンドボックス環境でトラフィック分析を実施しました。まず、XorDDoS トロイの木馬がサブコントローラにどのように接続されているかを分析し、次に中央コントローラがサブコントローラをどのように管理しているかを解明しました。
図 11. XorDDoS 制御フロー図
サブコントローラと DDoS トロイの木馬の接続は、図 11 のオレンジ色の線で示されています。マルウェアが標的システムに正常にインストールされると、「phone home」を含む暗号化データの送信を試みます。このデータは、CRC ヘッダー、uname コマンドで得られるリリースバージョンとマシンの情報、マジック文字列、ハードコードされたバージョン文字列で構成されています。Talos は、このデータを復号するために CyberChef を使用しました。
図 12. 復号された phone home データの例
Talos は、最新の VIP バージョンの「phone home」CRC ヘッダーが、Unit 42 が過去のブログ記事で詳述していたものと変わっていないことを確認しました。XorDDoS トロイの木馬の phone home データの暗号化についてはすでに同ブログ記事で取り上げられているため、ここではコントローラの応答の挙動と CRC ヘッダーの変更点に焦点を当てます。
XorDDoS トロイの木馬が接続を確立すると、CRC ヘッダーが「5343f096000000000200000000000000000000000000000000000000」に変わります(図 13 を参照)。これは、接続を確立するための基本的なクライアント/サーバー認証と同じように機能します。コントローラは XorDDoS トロイの木馬にコマンドを発行する際、同じ CRC ヘッダーを使用して暗号化されたコマンドを添付し、トロイの木馬に送信します。図 14 に示されているこのプロセスにより、XorDDoS トロイの木馬は、コマンドが承認済みであり、安全に実行できることを検証できます。
図 13. 接続が正常に確立されると CRC ヘッダーが変更される
図 14. サブコントローラが XorDDoS トロイの木馬にコマンドを送信するネットワークフロー
次に、Talos は中央コントローラとサブコントローラ間の接続を調査しました。これは図 11 の紫色の線で示されています。中央コントローラはコントローラバインダーを作成してサブコントローラにインジェクションすることで、サブコントローラへのフルアクセスを取得できます。コントローラバインダーがサブコントローラの制御に成功すると、サブコントローラのマシン情報を「phone home」ビーコンとして中央コントローラに送信します。この phone home データは、メッセージ番号、パケットサイズ、IP アドレス、ホスト名、接続ポートなどの情報をプレーンテキストで送信します。
図 15. phone home 接続のネットワークフロー
Talos は中央コントローラを使用してサブコントローラとの接続を確立し、ネットワークトラフィックをモニターしました。このプロセス中に、クライアントコントローラにコマンドが送信されるたび、あるいは中央コントローラにコマンドが返されるたびに、パケット内の MSG 番号が増加することを確認しました。図 16 に示すように、Talos は中央コントローラを使用して、SYN 分散型サービス妨害(DDoS)攻撃の開始、攻撃の停止、特定の IP アドレスまたはドメインを標的に攻撃を実行するコマンドを発行しました。コマンドが送信されるたびに、MSG 番号が増加します。同様に、受信したパケットの MSG 番号もその都度増加します。ただし、送信パケットと受信パケットの MSG 番号は直接的には関連していないことに注意することが重要です。
図 16. 中央コントローラがサブコントローラにコマンドを送信するネットワークフロー
カバレッジ
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。この脅威を検出する Snort SID は 64669、64668、64667 です。
この脅威に対する ClamAV 検出も利用可能です。Unix.Dropper.Xorddos::in07.talos
IOC(侵害の指標)
この脅威の IOC は、こちらの GitHub リポジトリで提供しています。
本稿は 2025 年 4 月 17 日にTalos Group
Authors