LinuxマルウェアのDDoS攻撃、アジアに集中砲火
アカマイテクノロジーズは9月30日、Linuxシステムに感染する「XOR DDoS」のボットネットによるDDoS(分散型サービス妨害)攻撃が激化しているとして注意を呼び掛けた。ボット感染の確認や駆除をユーザーにアドバイスしている。
XOR DDoSは、遠隔操作型のトロイの木馬で、Linuxシステムに感染する。攻撃者は総当たりで感染先のシステムを探し、まずSSHサービスのパスワードを盗んでシステムへのログインを試みる。ログインに成功すると、root権限でBashシェルスクリプトを実行してシステムにマルウェアを感染させ、遠隔操作で標的にDDoS攻撃を仕掛ける。
アカマイによると、ボットネットはこの1年ほどで威力を増し、現在では1日あたり最大20回に達し、トラフィックのピークは150Gbpsを超える。被害の90%がアジア地域に集中しており、主な標的はゲーム企業だという。8月下旬に観測された攻撃では約179Gbpsを記録し、攻撃手法ではSYNフラッドやDNSフラッドが使われている。
同社ではDDoS攻撃の軽減策としてイニシャルTTL値やTCPウィンドウサイズ、TCPヘッダオプションによるシグネチャが有効だと解説。また、攻撃者のコマンド&コントロール(C2)サーバとマルウェア間の通信や同社が提供するYARAルールを用いてマルウェアを検出できるという。
ただXOR DDoSマルウェアの削除は難しく、いったん削除しても再感染させる機能を持つため、以下の4つの手順で対応する必要があるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.