ELF_SETAG.SM

2019年7月23日

解析者: John Kevin Sanchez

更新者 : Marvelous Pelin

別名:

Backdoor:Linux/Setag.A(Microsoft)

プラットフォーム:

Linux

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

この「Backdoor」が実行する不正活動の全体像については、下記「感染フロー」をご参照ください。

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

トレンドマイクロは、このマルウェアがシステム情報の窃取および分散型サービス拒否（Distributed Denial of Service、DDoS）攻撃が可能なバックドア型マルウェアであることを確認しました。

マルウェアは、インターネット上でアクセス可能な全文検索エンジン「Elasticsearch」のデータベースまたはサーバを検索することから始まる攻撃の流れの一部としてElasticsearchのクエリにエンコードされたJavaコマンドを使用して攻撃者が作成した検索クエリでシェルを呼び出します。また、攻撃者は、このバックドア型マルウェアを送り込むことで分散型サービス拒否（Distributed Denial of Service、DDoS）攻撃のためのボットネットを構築します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

タイプ ELF

メモリ常駐はい

発見日 2017年3月9日

ペイロードシステムセキュリティへの感染活動, URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

Apache Struts2 Remote Code Execution vulnerability (CVE-2017-5638)

インストール

マルウェアは、以下のファイルを作成します。

/tmp/notify.file
/usr/bin/pythno
/usr/bin/bsd-port/knerl.conf
/usr/bin/bsd-port/udevd.conf
/usr/lib/libamplify.so - list of IP addresses used for its DDoS capabilities

マルウェアは、以下のフォルダを作成します。

/usr/bin/dpkgd/

情報漏えい

マルウェアは、以下の情報を収集します。

CPU frequency
CPU usage
Gate MAC address
Host's IP address
Infomation about network interfaces
Number of CPU cores
OS name
OS version
RAM

その他

マルウェアは、以下を実行します。

マルウェアは、以下のファイルを自身のコピーに置き換え、元のファイルを「/ usr / bin / dpkg /」にバックアップします。
- /bin/netstat
- /bin/lsof
- /bin/ps
- /usr/bin/netstat
- /usr/bin/lsof
- /usr/bin/ps
- /usr/sbin/netstat
- /usr/sbin/lsof
- /usr/sbin/ps
マルウェアは、DDoS攻撃を実行可能です。

注意：

マルウェアは、以下のWebサイトに接続して情報を送受信します。

{BLOCKED}.{BLOCKED}.189.10
{BLOCKED}.{BLOCKED}.189.18
{BLOCKED}.{BLOCKED}.100.100
{BLOCKED}.{BLOCKED}0.55
{BLOCKED}.{BLOCKED}.211.22
{BLOCKED}.{BLOCKED}.114.114
{BLOCKED}.{BLOCKED}.115.115
{BLOCKED}.{BLOCKED}.111.118
{BLOCKED}.{BLOCKED}.249.50
{BLOCKED}.{BLOCKED}.249.54
{BLOCKED}.{BLOCKED}.255.228
{BLOCKED}.{BLOCKED}.6.6
{BLOCKED}.{BLOCKED}.33.240
{BLOCKED}.{BLOCKED}.97.234
{BLOCKED}.{BLOCKED}.97.238
{BLOCKED}.{BLOCKED}.97.242
{BLOCKED}.{BLOCKED}.160.110
{BLOCKED}.{BLOCKED}.10.20
{BLOCKED}.{BLOCKED}.150.20
{BLOCKED}.{BLOCKED}.252.16
{BLOCKED}.{BLOCKED}.55.244
{BLOCKED}.{BLOCKED}.1.1
{BLOCKED}.{BLOCKED}.192.1
{BLOCKED}.{BLOCKED}.192.174
{BLOCKED}.{BLOCKED}.255.18
{BLOCKED}.{BLOCKED}.192.68
{BLOCKED}.{BLOCKED}.199.8
{BLOCKED}.{BLOCKED}.96.68
{BLOCKED}.{BLOCKED}.107.85
{BLOCKED}.{BLOCKED}.224.68
{BLOCKED}.{BLOCKED}.226.68
{BLOCKED}.{BLOCKED}.6.2
{BLOCKED}.{BLOCKED}.98.55
{BLOCKED}.{BLOCKED}.128.68
{BLOCKED}.{BLOCKED}.134.68
{BLOCKED}.{BLOCKED}.152.3
{BLOCKED}.{BLOCKED}.154.3
{BLOCKED}.{BLOCKED}.192.68
{BLOCKED}.{BLOCKED}.199.68
{BLOCKED}.{BLOCKED}.200.101
{BLOCKED}.{BLOCKED}.213.68
{BLOCKED}.{BLOCKED}.224.68
{BLOCKED}.{BLOCKED}.227.68
{BLOCKED}.{BLOCKED}.24.34
{BLOCKED}.{BLOCKED}.3.141
{BLOCKED}.{BLOCKED}.3.144
{BLOCKED}.{BLOCKED}.7.90
{BLOCKED}.{BLOCKED}.8.141
{BLOCKED}.{BLOCKED}.9.141
{BLOCKED}.{BLOCKED}.0.117
{BLOCKED}.{BLOCKED}.0.68
{BLOCKED}.{BLOCKED}.176.22
{BLOCKED}.{BLOCKED}.224.68
{BLOCKED}.{BLOCKED}.225.68
{BLOCKED}.{BLOCKED}.24.68
{BLOCKED}.{BLOCKED}.243.112
{BLOCKED}.{BLOCKED}.44.150
{BLOCKED}.{BLOCKED}.96.112
{BLOCKED}.{BLOCKED}.0.20
{BLOCKED}.{BLOCKED}.195.68
{BLOCKED}.{BLOCKED}.196.115
{BLOCKED}.{BLOCKED}.196.212
{BLOCKED}.{BLOCKED}.196.228
{BLOCKED}.{BLOCKED}.196.230
{BLOCKED}.{BLOCKED}.196.232
{BLOCKED}.{BLOCKED}.196.237
{BLOCKED}.{BLOCKED}.46.151
{BLOCKED}.{BLOCKED}.112.10
{BLOCKED}.{BLOCKED}.144.30
{BLOCKED}.{BLOCKED}.16.10
{BLOCKED}.{BLOCKED}.16.11
{BLOCKED}.{BLOCKED}.0.242
{BLOCKED}.{BLOCKED}.240.6
{BLOCKED}.{BLOCKED}.32.36
{BLOCKED}.{BLOCKED}.32.39
{BLOCKED}.{BLOCKED}.96.10
{BLOCKED}.{BLOCKED}.96.5
{BLOCKED}.{BLOCKED}.1.29
{BLOCKED}.{BLOCKED}.1.53
{BLOCKED}.{BLOCKED}.67.14
{BLOCKED}.{BLOCKED}.67.4
{BLOCKED}.{BLOCKED}.3.3
{BLOCKED}.{BLOCKED}.3.8
{BLOCKED}.{BLOCKED}.64.33
{BLOCKED}.{BLOCKED}.64.1
{BLOCKED}.{BLOCKED}.128.33
{BLOCKED}.{BLOCKED}.144.33
{BLOCKED}.{BLOCKED}.160.33
{BLOCKED}.{BLOCKED}.192.33
{BLOCKED}.{BLOCKED}.208.33
{BLOCKED}.{BLOCKED}.224.33
{BLOCKED}.{BLOCKED}.64.1
{BLOCKED}.{BLOCKED}.84.58
{BLOCKED}.{BLOCKED}.84.67
{BLOCKED}.{BLOCKED}.252.8
{BLOCKED}.{BLOCKED}.128.32
{BLOCKED}.{BLOCKED}.103.36
{BLOCKED}.{BLOCKED}.104.15
{BLOCKED}.{BLOCKED}.104.26
{BLOCKED}.{BLOCKED}.107.27
{BLOCKED}.{BLOCKED}.128.166
{BLOCKED}.{BLOCKED}.128.68
{BLOCKED}.{BLOCKED}.128.86
{BLOCKED}.{BLOCKED}.134.133
{BLOCKED}.{BLOCKED}.134.33
{BLOCKED}.{BLOCKED}.144.47
{BLOCKED}.{BLOCKED}.154.15
{BLOCKED}.{BLOCKED}.209.133
{BLOCKED}.{BLOCKED}.209.5
{BLOCKED}.{BLOCKED}.64.68
{BLOCKED}.{BLOCKED}.69.38
{BLOCKED}.{BLOCKED}.75.68
{BLOCKED}.{BLOCKED}.86.18
{BLOCKED}.{BLOCKED}.96.68
{BLOCKED}.{BLOCKED}.224.68
{BLOCKED}.{BLOCKED}.7.17
{BLOCKED}.{BLOCKED}.7.6
{BLOCKED}.{BLOCKED}.0.68
{BLOCKED}.{BLOCKED}.192.67
{BLOCKED}.{BLOCKED}.198.167
{BLOCKED}.{BLOCKED}.224.68
{BLOCKED}.{BLOCKED}.5.68
{BLOCKED}.{BLOCKED}.96.68
{BLOCKED}.{BLOCKED}.104.68
{BLOCKED}.{BLOCKED}.160.68
{BLOCKED}.{BLOCKED}.166.4
{BLOCKED}.{BLOCKED}.168.8
{BLOCKED}.{BLOCKED}.192.66
{BLOCKED}.{BLOCKED}.192.68
{BLOCKED}.{BLOCKED}.224.67
{BLOCKED}.{BLOCKED}.224.8
{BLOCKED}.{BLOCKED}.96.68
{BLOCKED}.{BLOCKED}.100.18
{BLOCKED}.{BLOCKED}.100.21
{BLOCKED}.{BLOCKED}.94.20
{BLOCKED}.{BLOCKED}.94.241
{BLOCKED}.{BLOCKED}.96.9
{BLOCKED}.{BLOCKED}.211.193
{BLOCKED}.{BLOCKED}.211.225
{BLOCKED}.{BLOCKED}.196.6
{BLOCKED}.{BLOCKED}.3.140
{BLOCKED}.{BLOCKED}.4.130
{BLOCKED}.{BLOCKED}.192.33
{BLOCKED}.{BLOCKED}.241.1
{BLOCKED}.{BLOCKED}.13.101
{BLOCKED}.{BLOCKED}.112.50
{BLOCKED}.{BLOCKED}.150.66
{BLOCKED}.{BLOCKED}.17.107
{BLOCKED}.{BLOCKED}.28.231
{BLOCKED}.{BLOCKED}.28.234
{BLOCKED}.{BLOCKED}.28.237
{BLOCKED}.{BLOCKED}.160.185
{BLOCKED}.{BLOCKED}.160.5
{BLOCKED}.{BLOCKED}.241.34
{BLOCKED}.{BLOCKED}.32.178
{BLOCKED}.{BLOCKED}.106.19
{BLOCKED}.{BLOCKED}.145.194
{BLOCKED}.{BLOCKED}.151.161
{BLOCKED}.{BLOCKED}.156.66
{BLOCKED}.{BLOCKED}.164.6
{BLOCKED}.{BLOCKED}.180.2
{BLOCKED}.{BLOCKED}.200.69
{BLOCKED}.{BLOCKED}.240.100
{BLOCKED}.{BLOCKED}.242.18
{BLOCKED}.{BLOCKED}.245.180
{BLOCKED}.{BLOCKED}.75.123
{BLOCKED}.{BLOCKED}.91.1
{BLOCKED}.{BLOCKED}.1.3
{BLOCKED}.{BLOCKED}.2.18
{BLOCKED}.{BLOCKED}.29.150
{BLOCKED}.{BLOCKED}.29.170
{BLOCKED}.{BLOCKED}.29.68
{BLOCKED}.{BLOCKED}.73.34
{BLOCKED}.{BLOCKED}.197.58
{BLOCKED}.{BLOCKED}.16.99
{BLOCKED}.{BLOCKED}.90.68
{BLOCKED}.{BLOCKED}.210.100
{BLOCKED}.{BLOCKED}.210.98
{BLOCKED}.{BLOCKED}.6.3
{BLOCKED}.{BLOCKED}.158.11
{BLOCKED}.{BLOCKED}.159.3
{BLOCKED}.{BLOCKED}.61.225
{BLOCKED}.{BLOCKED}.61.235
{BLOCKED}.{BLOCKED}.61.255
{BLOCKED}.{BLOCKED}.62.1
{BLOCKED}.{BLOCKED}.62.60
{BLOCKED}.{BLOCKED}.130.1
{BLOCKED}.{BLOCKED}.72.65
{BLOCKED}.{BLOCKED}.80.65
{BLOCKED}.{BLOCKED}.88.129
{BLOCKED}.{BLOCKED}.136.81
{BLOCKED}.{BLOCKED}.144.161
{BLOCKED}.{BLOCKED}.0.81
{BLOCKED}.{BLOCKED}.24.129
{BLOCKED}.{BLOCKED}.64.129
{BLOCKED}.{BLOCKED}.1.97
{BLOCKED}.{BLOCKED}.193.97
{BLOCKED}.{BLOCKED}.72.1
{BLOCKED}.{BLOCKED}.64.129
{BLOCKED}.{BLOCKED}.96.65
{BLOCKED}.{BLOCKED}.121.27
{BLOCKED}.{BLOCKED}.2.4
{BLOCKED}.{BLOCKED}.4.1
{BLOCKED}.{BLOCKED}.72.7
{BLOCKED}.{BLOCKED}.111.114
{BLOCKED}.{BLOCKED}.111.122
{BLOCKED}.{BLOCKED}.128.106
{BLOCKED}.{BLOCKED}.32.106
{BLOCKED}.{BLOCKED}.78.2
{BLOCKED}.{BLOCKED}.127.114
{BLOCKED}.{BLOCKED}.127.122
{BLOCKED}.{BLOCKED}.248.219
{BLOCKED}.{BLOCKED}.248.245
{BLOCKED}.{BLOCKED}.135.1
{BLOCKED}.{BLOCKED}.17.2
{BLOCKED}.{BLOCKED}.152.130
{BLOCKED}.{BLOCKED}.101.3
{BLOCKED}.{BLOCKED}.160.194
{BLOCKED}.{BLOCKED}.19.40
{BLOCKED}.{BLOCKED}.19.50
{BLOCKED}.{BLOCKED}.200.139
{BLOCKED}.{BLOCKED}.192.100
{BLOCKED}.{BLOCKED}.152.99
{BLOCKED}.{BLOCKED}.157.99
{BLOCKED}.{BLOCKED}.0.124
{BLOCKED}.{BLOCKED}.136.10
{BLOCKED}.{BLOCKED}.140.10
{BLOCKED}.{BLOCKED}.148.37
{BLOCKED}.{BLOCKED}.148.39
{BLOCKED}.{BLOCKED}.1.66
{BLOCKED}.{BLOCKED}.1.66
{BLOCKED}.{BLOCKED}.198.230
{BLOCKED}.{BLOCKED}.204.66
{BLOCKED}.{BLOCKED}.194.55
{BLOCKED}.{BLOCKED}.6.99
{BLOCKED}.{BLOCKED}.32.132
{BLOCKED}.{BLOCKED}.127.1
{BLOCKED}.{BLOCKED}.26.42
{BLOCKED}.{BLOCKED}.225.253
{BLOCKED}.{BLOCKED}.208.3
{BLOCKED}.{BLOCKED}.208.6
{BLOCKED}.{BLOCKED}.64.68
{BLOCKED}.{BLOCKED}.132.2
{BLOCKED}.{BLOCKED}.1.227
{BLOCKED}.{BLOCKED}.33.227
{BLOCKED}.{BLOCKED}.252.200
{BLOCKED}.{BLOCKED}.32.100
{BLOCKED}.{BLOCKED}.32.103
{BLOCKED}.{BLOCKED}.32.106
{BLOCKED}.{BLOCKED}.32.109
{BLOCKED}.{BLOCKED}.33.52
{BLOCKED}.{BLOCKED}.33.60
{BLOCKED}.{BLOCKED}.143.69
{BLOCKED}.{BLOCKED}.3.70
{BLOCKED}.{BLOCKED}.3.73
{BLOCKED}.{BLOCKED}.3.76
{BLOCKED}.{BLOCKED}.3.79
{BLOCKED}.{BLOCKED}.3.83
{BLOCKED}.{BLOCKED}.3.85
{BLOCKED}.{BLOCKED}.4.12
{BLOCKED}.{BLOCKED}.4.15
{BLOCKED}.{BLOCKED}.4.18
{BLOCKED}.{BLOCKED}.4.21
{BLOCKED}.{BLOCKED}.4.6
{BLOCKED}.{BLOCKED}.4.9
{BLOCKED}.{BLOCKED}.255.1
{BLOCKED}.{BLOCKED}.129.30
{BLOCKED}.{BLOCKED}.131.11
{BLOCKED}.{BLOCKED}.66.66
{BLOCKED}.{BLOCKED}.203.86
{BLOCKED}.{BLOCKED}.203.90
{BLOCKED}.{BLOCKED}.203.98
{BLOCKED}.{BLOCKED}.88.88
{BLOCKED}.{BLOCKED}.4.66
{BLOCKED}.{BLOCKED}.1.20
{BLOCKED}.{BLOCKED}.128.68
{BLOCKED}.{BLOCKED}.136.68
{BLOCKED}.{BLOCKED}.34.10
{BLOCKED}.{BLOCKED}.92.86
{BLOCKED}.{BLOCKED}.92.98
{BLOCKED}.{BLOCKED}.200.68
{BLOCKED}.{BLOCKED}.5.240
{BLOCKED}.{BLOCKED}.222.222
{BLOCKED}.{BLOCKED}.129.81
{BLOCKED}.{BLOCKED}.129.80
{BLOCKED}.{BLOCKED}.0.110
{BLOCKED}.{BLOCKED}.1.40
{BLOCKED}.{BLOCKED}.120.5
{BLOCKED}.{BLOCKED}.29.93
{BLOCKED}.{BLOCKED}.62.142
{BLOCKED}.{BLOCKED}.118.162
{BLOCKED}.{BLOCKED}.152.129
{BLOCKED}.{BLOCKED}.85.85
{BLOCKED}.{BLOCKED}.88.88
{BLOCKED}.{BLOCKED}.96.66
{BLOCKED}.{BLOCKED}.57.33
{BLOCKED}.{BLOCKED}.208.46
{BLOCKED}.{BLOCKED}.2.2
{BLOCKED}.{BLOCKED}.78.210
{BLOCKED}.{BLOCKED}.244.5
{BLOCKED}.{BLOCKED}.0.130
{BLOCKED}.{BLOCKED}.1.130
{BLOCKED}.{BLOCKED}114.133
{BLOCKED}.{BLOCKED}114.166
{BLOCKED}.{BLOCKED}128.68
{BLOCKED}.{BLOCKED}192.68
{BLOCKED}.{BLOCKED}254.34
{BLOCKED}.{BLOCKED}163.68
{BLOCKED}.{BLOCKED}1.4
{BLOCKED}.{BLOCKED}2.69
{BLOCKED}.{BLOCKED}39.73
{BLOCKED}.{BLOCKED}54.66
{BLOCKED}.{BLOCKED}37.1
{BLOCKED}.{BLOCKED}150.101
{BLOCKED}.{BLOCKED}150.123
{BLOCKED}.{BLOCKED}150.139
{BLOCKED}.{BLOCKED}25.129
{BLOCKED}.{BLOCKED}7.1
{BLOCKED}.{BLOCKED}98.3
{BLOCKED}.{BLOCKED}98.6
{BLOCKED}.{BLOCKED}9.61
{BLOCKED}.{BLOCKED}9.9
{BLOCKED}.{BLOCKED}254.5
{BLOCKED}.{BLOCKED}164.13
{BLOCKED}.{BLOCKED}164.18
{BLOCKED}.{BLOCKED}70.98
{BLOCKED}.{BLOCKED}93.33
{BLOCKED}.{BLOCKED}.1.1
{BLOCKED}.{BLOCKED}.233.1
{BLOCKED}.{BLOCKED}.224.3
{BLOCKED}.{BLOCKED}.224.5

マルウェアは、コンピュータ起動時に自動的に自身を実行するため、以下のスクリプトを「/etc/rc{1-5}.d/」および「/etc/init.d/」に追加します。

/etc/rc{数字}.d/S{1-5}VsystemshMdt
/etc/rc{数字}.d/S{1-5}selinux
/etc/init.d/VsystemshMdt
/etc/init.d/selinux

<補足>
インストール

マルウェアは、以下のファイルを作成します。

/usr/lib/libamplify.so - DDoS攻撃を可能にするために利用されるIPアドレスの一覧

情報漏えい

マルウェアは、以下の情報を収集します。

CPUのクロック周波数
CPU使用率
デフォルトゲートウェイのMACアドレス
ホストのIPアドレス
ネットワークインターフェイスに関する情報
CPUのコア数
OSの名前
OSのバージョン
RAM

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 12.831.50

初回 VSAPI パターンリリース日 2016年10月11日

VSAPI OPR パターンバージョン 12.832.50

VSAPI OPR パターンリリース日 2016年10月12日

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_SETAG.SM」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

ELF_SETAG.SM

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

ELF_SETAG.SM

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa