Trend Micro Security

Backdoor.Linux.BASHLITE.AMF

2019年4月3日
 解析者: Jemimah Mae Molina   

 別名:

Linux/Gafgyt.rhapr (ANTIVIR); ELF/Gafgyt.BV!tr (FORTINET)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、IoTデバイスを狙うマルウェア「Bashlite」の更新された亜種です。Bashliteは、「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」のためにIoTデバイスを感染させてボットネットを構築するマルウェアです。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。


  詳細

ファイルサイズ 138,335 bytes
タイプ ELF
メモリ常駐 なし
発見日 2019年3月25日
ペイロード URLまたはIPアドレスに接続, システムセキュリティへの感染活動, ファイルのダウンロード

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • PINGING - checks connection with the C&C
  • ECHOSCAN – telnet scanner
  • OELINUX123 – similar to ECHOSCAN, but targets embedded systems
  • CFBYPASS – bypasses CloudFlare Protection
  • BRICKER – downloads and executes bricker
  • MINER - downloads and executes miner
  • PKILL - kills a specified process
  • GRENADE – launches all DDOS module
    • JUNK - send randomly generated strings
    • UDP - send UDP packets
    • ACK - send ACK packets
    • VSE - send spoofed queries and/or connection attempts
    • TCP - send TCP packets
    • OVH - flood OVH an anti-DDoS web service

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.25.213:3437

その他

マルウェアは、以下を実行します。

  • 以下の認証情報を利用し、他のコンピュータへのログインを試行します。
    • ユーザ名:
      • root
      • admin
    • パスワード:
      • root
      • admin
      • admin123
      • huigu309
      • xc3511
      • vizxv
    • システムアーキテクチャに応じて、ダウンローダバイナリを作成します。
      作成されたバイナリは、以下のURLにアクセスしてペイロードをダウンロードします。
      • {BLOCKED}.{BLOCKED}.185.250/hakai.{アーキテクチャ}
        {アーキテクチャ}には以下のいずれかが該当します。
        • arm
        • arm7
        • m68k
        • mips
        • mpsl
        • ppc
        • sh4
        • spc
        • x86
        • x86_64

      作成されたバイナリは、ダウンロードしたファイルを以下のファイル名で保存します。
    • hakai

<補足>
バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • PINGING - コマンド&コントロール(C&C)サーバとの接続を確認
  • ECHOSCAN – telnetスキャナ
  • OELINUX123 – ECHOSCANと同様だが、こちらは組み込みシステムを攻撃対象とする
  • CFBYPASS – CloudFareの保護を回避
  • BRICKER – brickerをダウンロードして実行
  • MINER - minerをダウンロードして実行
  • PKILL - 特定のプロセスを終了
  • GRENADE – すべてのDDOSモジュールを起動
    • JUNK - ランダムに生成した文字列を送信
    • UDP - UDPパケットを送信
    • ACK - ACKパケットを送信
    • VSE - なりすましクエリや接続試行を送信
    • TCP - TCPパケットを送信
    • OVH - DDoS攻撃対策Webサービスへの大量アクセスやデータ送付を実行


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.894.06
初回 VSAPI パターンリリース日 2019年3月25日
VSAPI OPR パターンバージョン 14.895.00
VSAPI OPR パターンリリース日 2019年3月26日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.BASHLITE.AMF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください