Backdoor.Linux.KINSING.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

• /tmp/.ICEd-unix
• /var/tmp/.ICEd-unix

マルウェアは、以下のファイルを作成し実行します。

• /tmp/kdevtmpfsi

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download and execute a file
• Update downloaded files
• Execute a command
• Execute a command and send output to {Server}/o
• Create an HTTP request
• Create a TCP request
• Brute-force Redis instances

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• kdevtmpfsi

情報漏えい

マルウェアは、以下の情報を収集します。

• OS Version
• OS Name
• OS Architecture

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• {Server}/r

その他

マルウェアは、以下を実行します。

• This backdoor checks for the connection to the following URL to choose which C2 server to send and receive information:
  • http://{BLOCKED}.{BLOCKED}.88.102
  • http://{BLOCKED}.{BLOCKED}.169.111
  • http://{BLOCKED}.{BLOCKED}.50.255
  • http://{BLOCKED}.{BLOCKED}.87.220
  • http://{BLOCKED}.{BLOCKED}.220.193
• This backdoor receives its commands via HTTP GET to the following URL:
  • {Server}/get

マルウェアは、脆弱性を利用した感染活動を行いません。

＜補足＞
バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• ファイルのダウンロードおよび実行
• ダウンロードしたファイルのアップデート
• コマンドの実行
• コマンドの実行および {サーバ}/oへの出力の送信
• HTTPリクエストの作成
• TCPリクエストの作成
• Redisインスタンスへのブルートフォース攻撃

情報漏えい

マルウェアは、以下の情報を収集します。

• オペレーティングシステム（OS）のバージョン
• OSの名前
• OSアーキテクチャ

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• {サーバ}/r

その他

マルウェアは、以下を実行します。

• マルウェアは、以下のURLへの接続をチェックして、情報を送受信するC2サーバを選択します。
  • http://{BLOCKED}.{BLOCKED}.88.102
  • http://{BLOCKED}.{BLOCKED}.169.111
  • http://{BLOCKED}.{BLOCKED}.50.255
  • http://{BLOCKED}.{BLOCKED}.87.220
  • http://{BLOCKED}.{BLOCKED}.220.193
• マルウェアは、 HTTP GET を介して、以下のURLにコマンドを受信します。
  • {サーバ}/get