サイバー脅威
ステガノグラフィーで隠蔽した不正なシェルスクリプトの配布にAlibabaクラウド・ストレージが不正使用される
不正な暗号資産マイニングを行う攻撃者は、以前報告した通り、過去にマルウェアを感染させることで流出させた認証情報やシステム上の設定不備を利用して、「Huawei Cloud」をはじめとする複数のクラウド環境に侵入し、暗号資産マイニング用マルウェアのインストールを行います。
不正な暗号資産マイニングを行う攻撃者は、以前報告した通り、過去にマルウェアを感染させることで流出させた認証情報やシステム上の設定不備を利用して、「Huawei Cloud」をはじめとする複数のクラウド環境に侵入し、暗号資産マイニング用マルウェアのインストールを行います。
今回の調査では、Alibabaクラウド(別称Aliyun)のオブジェクト・ストレージ・サービス(OSS:Object Storage Service)を不正利用してマルウェアの配布や違法な暗号資産マイニングを行う攻撃キャンペーンの存在が確認されました。OSSはAlibabaクラウドの顧客を対象として、Webアプリケーションのイメージやバックアップ情報をクラウド内に保存する機能を提供するサービスです。Alibabaクラウドへの攻撃を確認したのは、残念ながら今回が初めてではありません。トレンドマイクロは今年の早い段階から、攻撃者がAlibabaクラウドの機能を無効化してクリプトジャッキングを行う手口について報告してきました。
セキュアでないOSSバケットや認証情報の不正利用
OSSバケットを安全に使用するためにはアクセスポリシーを適切に設定する必要があります。この設定に不備があると、攻撃者によってバケットのファイルをダウンロード、またはバケットにファイルをアップロードされる恐れがあります。
また、攻撃者によって「AccessKey ID」や「AccessKey Secret」、または認証トークンを窃取された場合も、OSSバケット自体が掌握されます。上述したいずれの認証情報も、不正アクセスを受けたサービスから流出する可能性があります。特に、認証情報を平文のテキストファイルや環境変数に保存しているサービスについては、その可能性が高くなります。また、OSSバケットへのアクセス権が専用の認証情報窃取ツールによって奪われる場合もあります。サイバー犯罪者集団「TeamTNT」による「拡張された認証情報窃取機能」は、そうしたツールの最たる例であり複数のクラウド環境が標的とされています。
今回の攻撃キャンペーンについて技術的な詳細を調べたところ、シェルスクリプト内に「OSS」、「KeySecret」、「GitHub」といった文言を含むコメント文が見られました。このことから、攻撃者はGitHubのパブリック・リポジトリから、不注意なユーザがプッシュした認証情報を単純に検索しようとしていると想定しました。
/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc/Picture1.jpg)
上述の想定について確認するため、当該の中国語で書かれたコメント文をGoogle翻訳で英語に訳しました。結果を見る限り、確かにGitHubリポジトリから認証情報を窃取しようとする意図がうかがわれます。
/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc/Picture2.jpg)
OSSバケットへのマルウェア配布に際して用いられるステガノグラフィー技術
調査を進めた結果、攻撃者は不正なスクリプトをステガノグラフィーによって画像内に埋め込み、その画像を先にアクセス権限を掌握したOSSバケットにアップロードしたことが分かりました。
ステガノグラフィーは、特にネットワーク経路上の防御システムを回避する手段として攻撃者に使用されます。その最も単純な形態としては、不正なファイルの拡張子を「.png」など一見無害に見えるものに変更する方式が挙げられます。これだけでも、拡張子のみでファイルの許可、不許可を判断するセキュリティ・プロキシをすり抜けることは可能になります。
この単純な方式が暴かれた後、サイバー犯罪者は戦略の変更と強化を余儀なくされました。例えば、画像や動画のファイル内にマルウェアを埋め込み、検出を困難にする手口が使用されるようになりました。一般的に、単純なセキュリティ・ソリューションでは、画像であるかどうか、またはその形式を判定する際にファイルのヘッダー情報を参照します。そのため仮にファイル内に不正なスクリプトが含まれていても、そのヘッダー情報が一般的に無害とされる形式(PNGなど)に合致する場合、上述のソリューションは当該ファイルがネットワーク内に転送されることを許可するでしょう。
今回の攻撃キャンペーンでは、画像にマルウェアを埋め込むステガノグラフィー技術の中でも比較的単純な方式が用いられる傾向が見られました。具体的にはPNGの画像自体は正常なものですが、不正なシェルスクリプトがファイル末尾に埋め込まれていました。ユーザがこの画像を開くと、ファイル末尾に埋め込まれた不正なシェルスクリプトは無視され、正常な画像のみが表示されるでしょう。
/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc/Picture3.jpg)
/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc/Picture4.jpg)
しかし、ダウンロードした画像ファイルを詳細に調べたところ、上記でも述べた通り末尾に不正なシェルスクリプトが埋め込まれていることが判明しました。
/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc/Picture5.jpg)
マルウェアの開発者は、ダウンロードした画像ファイルから不正なシェルスクリプトを抽出するため、Unixのコマンド「dd」を使用しました。通常、このコマンドはある程度高度なタスクの処理に利用されることを踏まえると、マルウェアの開発者はUnixシステムに関して一定の知識を持っていると考えられます。
/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc/Picture6.jpg)
Redisの設定不備を突いて暗号資産「Monero」をマイニングするシェルスクリプト
今回の攻撃で用いられたペイロード本体は、マルチプラットフォームで動作するオープンソースの暗号資産マイナー「XMRig」を利用して、暗号資産「Monero」を不正にマイニングすることが分かりました。この際攻撃者は下記のマイニングプールを使用しました。
mr-asia1[.]nanopool[.]org
さらに、このシェルスクリプトはリモートコード実行(RCE:Remote Code Execution)の攻撃に繋がる、インメモリデータベース「Redis」の設定不備を突く動作を行うことが確認されました。過去においても、これと同様の戦略がクリプトジャッキングの競争に関わる複数の攻撃グループ(TeamTNTやKinsingなど)によって利用されています。
結論およびトレンドマイクロによるソリューション
トレンドマイクロの調査によると、サイバー犯罪グループは新しい環境への適用を繰り返し、今後さらに多くのクラウドサービスを狙うことが予測されます。攻撃者は引き続きクラウドサービスの設定不備や設計上の欠陥を利用して、アクセス認証トークンを容易に窃取する手段を模索するでしょう。クラウドサービスのユーザは、こうした攻撃の傾向に留意することを推奨します。
また、開発者の方はいかなる認証情報や機密情報も、バージョン管理システムや公開されたリポジトリに保存しないようにすることを推奨します。実際、今回の攻撃キャンペーンは外部に露出した認証情報や機密情報を攻撃者が積極的に狙っていることを示す一例と言えるでしょう。
「Trend Micro Cloud One™」をはじめとするセキュリティ・ソリューションを用いることで、クラウド・ネイティブのシステムや、関連するさまざまなレイヤーを保護できます。本ソリューションでは、「継続的インテグレーションと継続的デプロイ(CI/CD:Continuous Integration and Continuous Deploy)」に基づくパイプラインやアプリケーションを保護する有力な手段を企業に提供します。また、Trend Micro Cloud Oneプラットフォームの「Workload Security」は、ワークロードのためのランタイム保護機能を提供します。
参考記事:
• 「Alibaba OSS Buckets Compromised to Distribute Malicious Shell Scripts via Steganography」
By: Alfredo Oliveira, David Fiser
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)