アカマイテクノロジーズは9月30日、Linuxシステムに感染する「XOR DDoS」のボットネットによるDDoS(分散型サービス妨害)攻撃が激化しているとして注意を呼び掛けた。ボット感染の確認や駆除をユーザーにアドバイスしている。
XOR DDoSは、遠隔操作型のトロイの木馬で、Linuxシステムに感染する。攻撃者は総当たりで感染先のシステムを探し、まずSSHサービスのパスワードを盗んでシステムへのログインを試みる。ログインに成功すると、root権限でBashシェルスクリプトを実行してシステムにマルウェアを感染させ、遠隔操作で標的にDDoS攻撃を仕掛ける。
アカマイによると、ボットネットはこの1年ほどで威力を増し、現在では1日あたり最大20回に達し、トラフィックのピークは150Gbpsを超える。被害の90%がアジア地域に集中しており、主な標的はゲーム企業だという。8月下旬に観測された攻撃では約179Gbpsを記録し、攻撃手法ではSYNフラッドやDNSフラッドが使われている。
同社ではDDoS攻撃の軽減策としてイニシャルTTL値やTCPウィンドウサイズ、TCPヘッダオプションによるシグネチャが有効だと解説。また、攻撃者のコマンド&コントロール(C2)サーバとマルウェア間の通信や同社が提供するYARAルールを用いてマルウェアを検出できるという。
ただXOR DDoSマルウェアの削除は難しく、いったん削除しても再感染させる機能を持つため、以下の4つの手順で対応する必要があるとしている。
- 2つのディレクトリ内の悪意あるファイルを特定する
- メインプロセスの持続を促進しているプロセスを特定する
- 悪意あるプロセスを終了(Kill)する
- 悪意あるファイルを削除する
関連記事
- モバイル広告を使うDDoS攻撃発生、毎秒27万超のHTTPリクエスト
スマートフォンでWebを閲覧していたユーザーに広告ネットワークを経由して不正な広告が配信され、攻撃用のページに誘導して大量のリクエストを発生させていたとCloudFlareは推測する。 - BitTorrent、DDoS増幅攻撃の脆弱性を修正
BitTorrentはuTorrentとBitTorrent、BitTorrent Syncクライアントの更新版をそれぞれ公開し、脆弱性に対処したことを明らかにした。 - DDoS攻撃が増加傾向、執拗なShellshock攻撃も
Akamaiによると、4〜6月期に発生したDDoS攻撃は前年同期比132%増、前期比では7%増。「DDoS攻撃やWebアプリケーション攻撃が投げかける脅威は四半期ごとに増大し続けている」という。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.