Backdoor.SH.SHELLBOT.AA

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

トレンドマイクロは、ハッキング集団「Outlaw」のボットネットによって拡散するボット型マルウェアを確認しました。ボット型マルウェアには、このバックドア型マルウェア「Shellbot」の他に、仮想通貨「Monero」発掘ツールがバンドルされています。採用されている攻撃手法は、2018年11月に報告した「Outlaw」の攻撃手法を連想させます。過去に侵害済みのシステムで活動を開始し、さらに、おそらくは収集した情報を販売することも目的として設計されています。最終的には、コインマイナーをインストールし不正マイニングを行うことが目的です。

マルウェアは、UnixおよびLinuxベースのシステムで一般的にバックアップや同期のために自動的に実行される「rsync」というプロセスに偽装するため、不審に見えることなく、これによってさらに検出を回避します。

マルウェアはボットネットの制御にも利用されます。C＆Cからコマンドによって、シェル、ホスト名、およびそのアーキテクチャでコードが実行されているか確認します。感染したシステムから収集した情報はすべてC＆Cによって回収されるまで、一定期間感染デバイスに保存されます。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、IRCサーバに接続します。 マルウェアは、IRCチャンネルに参加します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {home directory}/.ssh/authorized_keys → saves the attacker's SSH public-key

バックドア活動

マルウェアは、以下のいずれかのIRCサーバに接続します。

• {BLOCKED}.{BLOCKED}.148.125:443

マルウェアは、以下のいずれかのIRCチャンネルに参加します。

• #007

マルウェアは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• Scan ports 21, 22, 23, 25, 53, 80, 110, 143, 6665 of a specific IP
• Download a file
• Scan open ports of a specific hostname
• UDP Flooding
• Connect to an arbitrary socket
• Simultaneous IGMP, ICMP, UDP and TCP flooding on open ports with statistic report
• IRC Control:
  • join → join a specified channel
  • part → leave a specified channel
  • rejoin → leave then rejoin a specified channel
  • op → grant a user an operator status
  • deop → revoke a user's operator status
  • voice → grant a user a voice status
  • devoice → revoke a user's voice status
  • msg → send a private message
  • flood → send a private message for a specified number of times
  • ctcpflood → send a client-to-client protocol request to a specified user or channel for a specified number of times
  • ctcp → send a client-to-client protocol request to a specified user or channel
  • invite → invite a user to join a specified channel
  • nick → change nickname
  • conecta → connect to a specified server
  • send → establish a direct connection with another user
  • raw → toggles raw events processing
  • eval → execute specified command
  • entra → join a channel after random seconds
  • sai → leave a channel after random seconds
  • sair → disconnect from the server
  • novonick → change nickname to x{random number}
  • estatisticas → toggles statistics flag
  • pacotes → toggles packets flag

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• {ホームディレクトリ}/.ssh/authorized_keys → 攻撃者のSSH公開鍵の保存

バックドア活動

マルウェアは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• 特定のIPのポート21, 22, 23, 25, 53, 80, 110, 143, 6665をスキャン
• ファイルのダウンロード
• 特定のホスト名のオープンポートをスキャン
• UDPフラッド攻撃
• 任意のソケットへの接続
• 統計レポートを用いたオープンポート上でのIGMP、ICMP、UDP、およびTCPの同時フラッド攻撃
• IRC制御:
  • join → 特定のチャンネルに参加 "
  • part → 特定のチャンネルを抜ける "
  • rejoin → 特定のチャンネルを抜け再度参加
  • op → ユーザにオペレータのステータスを許可
  • deop → ユーザのオペレータスのステータスを無効化
  • voice → ユーザにボイスのステータスを許可
  • devoice → ユーザのボイスのステータスを無効化
  • msg → プライベートメッセージを送信
  • flood → 特定回数のプライベートメッセージを送信
  • ctcpflood → 特定のユーザまたはチャンネルに特定回数クライアント間プロトコル要求を送信
  • ctcp → 特定のユーザまたはチャンネルにクライアント間プロトコル要求を送信
  • invite → 特定のチャンネルにユーザを招待
  • nick → ニックネームの変更
  • conecta → 特定のサーバへの接続
  • send → 他のユーザとのダイレクト接続を確立
  • raw → 未加工イベント処理の切り替え
  • eval → 特定のコマンドの実行
  • entra → ランダムな秒数後にチャンネルに参加
  • sai → ランダムな秒数後にチャンネルを抜ける
  • sair → サーバから切断
  • novonick → ニックネームを「x{ランダムな数字}」へ変更
  • estatisticas → 統計フラグの切り替え
  • pacotes → パケットフラグの切り替え