LinuxマルウェアのDDoS攻撃、アジアに集中砲火

LinuxマルウェアのDDoS攻撃、アジアに集中砲火

» 2015年09月30日 15時58分 公開
[ITmedia]
アカマイの注意喚起

 アカマイテクノロジーズは9月30日、Linuxシステムに感染する「XOR DDoS」のボットネットによるDDoS(分散型サービス妨害)攻撃が激化しているとして注意を呼び掛けた。ボット感染の確認や駆除をユーザーにアドバイスしている。

 XOR DDoSは、遠隔操作型のトロイの木馬で、Linuxシステムに感染する。攻撃者は総当たりで感染先のシステムを探し、まずSSHサービスのパスワードを盗んでシステムへのログインを試みる。ログインに成功すると、root権限でBashシェルスクリプトを実行してシステムにマルウェアを感染させ、遠隔操作で標的にDDoS攻撃を仕掛ける。

 アカマイによると、ボットネットはこの1年ほどで威力を増し、現在では1日あたり最大20回に達し、トラフィックのピークは150Gbpsを超える。被害の90%がアジア地域に集中しており、主な標的はゲーム企業だという。8月下旬に観測された攻撃では約179Gbpsを記録し、攻撃手法ではSYNフラッドやDNSフラッドが使われている。

 同社ではDDoS攻撃の軽減策としてイニシャルTTL値やTCPウィンドウサイズ、TCPヘッダオプションによるシグネチャが有効だと解説。また、攻撃者のコマンド&コントロール(C2)サーバとマルウェア間の通信や同社が提供するYARAルールを用いてマルウェアを検出できるという。

 ただXOR DDoSマルウェアの削除は難しく、いったん削除しても再感染させる機能を持つため、以下の4つの手順で対応する必要があるとしている。

  1. 2つのディレクトリ内の悪意あるファイルを特定する
  2. メインプロセスの持続を促進しているプロセスを特定する
  3. 悪意あるプロセスを終了(Kill)する
  4. 悪意あるファイルを削除する
2015年上期でも大規模DDoSが多発している(Akamai資料)

Copyright © ITmedia, Inc. All Rights Reserved.