本稿は 2015年4月9日に Talos Group
のブログに投稿された「Threat Spotlight: SSHPsychos」
概要
Talos は長期にわたり、永続的な脅威(当社が SSHPsychos または Group 93 と呼んでいるグループ)を監視しています。このグループは、インターネット上で大量のスキャン トラフィックを生成することで知られています。シスコの調査活動は、世界中のお客様に対する情報提供や保護に役立っていますが、シスコとお客様との結び付きにより影響が拡大する場合もあります。本日、シスコと Level 3 Communications 社は、インターネットのより多くの部分を保護するための対策を講じました。
SSHPsychos の SSH トラフィックとその他のインターネット(緑)を示す画像
攻撃状況
SSHPsychos の主な攻撃方法は、SSH ブルート フォース アタックです。パッシブ DNS のデータによると、最初にその攻撃が確認されたのは 2014 年 6 月でした。以来、2 つのクラス C ネットワークが、リスンしているすべてのホストに対し、大量の SSH ログイン試行を行っています。上の画像は、これらのネットワークによるログイン試行の量を示しています。SSHPsychos による SSH ログイン試行が、その他すべてのインターネットからの SSH ログイン試行の合計をはるかに上回っています。こうしたネットブロックは、悪意のあるアクティビティとしてのみ行われている可能性があることに注意してください。
攻撃の概要
103.41.124.0/23 からの大量の SSH ブルート フォース ログイン試行は、300,000 以上の異なるパスワードを使用して、ルート ユーザのパスワードを特定するためにのみ行われています。ログインが正常に完了すると、ブルート フォース アタックは停止します。次のステップとして、米国外を拠点とする共有ホスティング会社が所有する、異なる IP 範囲からログインします。ログインが完了すると、DDoS 攻撃のルートキットと判明している 1 つのファイルに対して、wget リクエストが発信されます。ファイルは、ハードコードされた IP アドレスからダウンロードされる間だけでなく、同一アドレス(23.234.60.140)に解決される特定ドメインからダウンロードされる間も監視されています。このアドレスは、米国外を拠点とするホスティング会社に関係しています。
DDoS キットをホストするサーバのドメイン情報
ルートキットがインストールされると、コマンド & コントロール サーバの 1 つが、XOR(排他的論理和)でエンコードしたファイルを使用して追加指示をダウンロードします。Level 3 社は、コンフィギュレーション ファイルの 1 つをデコードしました。以下はそのサンプルです。コンフィギュレーション ファイルは主に、拒否される IP アドレスとファイル名、削除されるファイルの一覧で構成されています。
デコードされたコンフィギュレーション ファイルのサンプル(実際のコンフィギュレーション ファイルを確認するには画像をクリックしてください)
対策の実施
Talos がこの数ヵ月間に収集した情報を利用して、シスコは Level 3 社との連携を開始し、こうした脅威への対処やユーザの保護に必要な対策を検討しています。Level 3 社は、疑わしいネットワークの動作を分析し、103.41.124.0/23 では正規のトラフィックが送受信されていないことを確認しました。この時点でTalos および Level 3 社は、このネットブロックを排除するプロセスを開始しました。
攻撃側の変化
Level 3 社は対策の一環として、プロバイダーにこの変更について通知しました。3 月 30 日、SSHPsychos は突如作戦を変更しました。大量の SSH ブルート フォース アタックを行っていた当初の /23 ネットワークはほぼ活動を停止し、新たな /23 ネットワークが SSHPsychos とまったく同じ動作を行い、大量の SSH ブルート フォース アタックを開始しました。新しいネットワークは 43.255.190.0/23 であり、その SSH トラフィックは通信開始直後から SSH トラフィック全体の 99 % 以上に達しました。マルウェアが利用していたホストも変更され、新たなホスト(23.234.19.202)が、前述の DDoS 攻撃のルートキットと同一のファイルを供給していることが確認されました。
SSHPsychos の SSH トラフィック(103.41.124.0/23:赤およびピンク、43.255.190.0/23:オレンジ、その他のすべての SSH トラフィック:緑)
この突然の変更に対応するために、即座に対策が取られました。Talos と Level 3 社は、ネットワーク 103.41.124.0/23 をルーティング対象から除外し、43.255.190.0/23 もネットブロックとして新たに追加しました。これら 2 つのネットブロックの排除は SSHPsychos にとって新たな障害となるため、たとえ短期間でもその活動を抑制できる可能性があります。
こうした大規模な措置は、Level 3 社とシスコがインターネットの安全性向上のために連携することでのみ可能になります。今後は、正規のインターネット アクティビティに影響を与えずにシステムのセキュリティ侵害を防止できる場合にのみ、この種の対策を行う予定です。
IOC
ドメイン:
ftp.rxxiaoao.com
ndns.dsaj2a.org
ndns.dsaj2a1.org
ndns.hcxiaoao.com
ndns.dsaj2a.com
ns1.hostasa.org
ns2.hostasa.org
ns3.hostasa.org
ns4.hostasa.org
aa.hostasa.org
info.3000uc.org
IP アドレス:
スキャン:
103.41.124.0/23
43.255.190.0/23
コマンド & コントロール:
103.240.140.152
103.240.141.54
103.240.141.50
104.143.5.25
162.218.112.7
マルウェア ホスティング:
23.234.60.140
23.234.60.143
23.234.19.202
SSH パスワード一覧
ルートキットのコンフィギュレーション ファイルのサンプル
まとめ
検出や防御を行う側がインターネットを傍観していられたのは遠い昔の話です。今や攻撃者の集団が世界中のさまざまなシステムを平然と攻撃しています。上述の脅威はセキュリティ コミュニティではよく知られていました。シスコと Level 3 Communications 社は、この脅威に介入し、阻止すべき時であると意見が一致し、対策を講じたのです。両社は、Level 3 Communications 社のバックボーン ネットワーク内における SSHPsychos の通信を厳しく制限し、SSHPsychos によるシステムへの侵入やマルウェアの拡散を防ぎました。
こうした対策により、Level 3 社が監視する一部のインターネットは保護されましたが、対策はまだ十分ではありません。インターネット上で悪意のあるトラフィックが拡散するのを阻止するために、皆様にもご協力いただきたいと考えています。シスコは、ISP やネットワーク管理者にもこの取り組みにご参加いただき、責任を持って、管理された方法で不正ネットワークへの通信を除外することにより、こうしたグループの活動を阻止したいと考えています。連携することで、悪事を堂々と働くグループを排除できるチャンスが生まれます。
インターネットを公然と攻撃するグループに対して対策を講じることに賛同いただける方は、#DownWithSSHPsychos を使ってツイートして意見をお寄せください。
Authors
