LinuxのマルウェアEburyの容疑者逮捕、Windigoの首謀者に判決

2011年8月にkernel.orgのサーバに不正侵入した容疑で、5年後の2016年8月に27歳のフロリダ在住のプログラマー Donald Ryan Austin が容疑者として逮捕されました。しかしその後、1年以上が経過した現在もまだ判決は出ていません。
なお、Eburyを主要なコンポーネントとしてボットネットを構築し、北米やヨーロッパで猛威を振るった「Operation Windigo」の首謀者として、41歳のロシア人 Maxim Senakh が2015年8月にフィンランド警察に逮捕され、2016年2月に米国に移送され、今年の8月に懲役46ヵ月(約4年)の判決が下りました。(Donald Ryan AustinとMaxim Senakhの間に関係はなかったようです)

Donald Ryan Austinはお金がなく、ガールフレンドの両親に保釈金を払ってもらったのに対して、Maxim Senakhは被害者から総額で数百万ドルを吸い上げていたようです。

[Donald Ryan Austin]
https://www.justice.gov/usao-ndca/pr/florida-computer-programmer-arreste...
http://ictframe.com/hacker-arrested-for-hacking-official-linux-kernel-we...

[Maxim Senakh]
https://thehackernews.com/2017/08/linux-malware-hacking.html
https://www.itnews.com.au/news/botnet-builder-gets-almost-four-years-in-...

[kernel.org archive/Site News, related news]
http://web.archive.org/web/20111004011725/http://kernel.org/
http://web.archive.org/web/20111009051220/https://www.linuxfoundation.or...
https://lwn.net/Articles/464233/
https://pastebin.com/BKcmMd47
http://www.theregister.co.uk/2011/08/31/linux_kernel_security_breach/

Donald Ryan Austinにどのような判決が下るか、注目です。それとkernel.orgへの侵入経路を詳しく知りたいものです。
判決が出たら、もしかするとリーナス・トーバルズ氏も何かコメントを出すかも知れないと期待しています。

以下、参考に:
(有)ナレッジデザインでは4人の共著で「標準テキスト CentOS 7 構築・運用・管理パーフェクトガイド」を執筆し、今年の3月にSBクリエイティブから発売されました。
その中で、ページ数が増えすぎたためにカットせざるを得なかったトピックや箇所がいくつかあります。Linuxのマルウェアの記述の一部もその1つで、せっかく書いたので以下に掲載します。



最近発見されたLinuxのマルウェアの例を以下に挙げます。

●マルウェアの名前:Adore
種別:ワーム
発見日:2001年4月
概要:
Adoreは既に発見されているLinuxワームであるRamenおよびLionの亜種です。RedHat7.0(RedHat社が2000年9月にリリースしたLinuxディストリビューション。RHEL7ではありません)のLPRng, rpc-statd, wu-ftpd, BINDの脆弱性を利用し、ネットワークやユーザアカウントの設定ファイルを攻撃者のメールアドレスに送信し、バックドアを作成します。
米国に本部を置くセキュリティ研究・教育機関であるSANS Institute(https://www.sans.org)が発見し、このワームがディレクトリ/usr/bin/adoreを作成することから「Adore」と名付けられました。
AdoreについてはIPA(https://www.ipa.go.jp)の調査報告では2015年第3四半期(7月~9月)の不正プログラム(マルウェア)検出数は58,412個で、検出ウイルス数は3,770個、そのうちLinuxウイルスはAdoreが6個でした(大半がMS Windowsのウイルスで3,601個)。なお、2015年第3四半期から2016年第2四半期(2015年7月~2016年6月)までの1年間でLinuxウイルスの検出が報告されてるのはこの6件だけです。

●マルウェアの名前:Linux.Encoder.1
種別:ランサムウェア、トロイの木馬
発見日:2015年11月
概要:
Linux.Encoder.1はLinuxをターゲットとした最初のランサムウェアです。
ロシアのセキュリティベンダーDr.Web (http://www.drweb.com)が発見し、「Linux.Encoder.1」と名付けて公表しました。
Linux.Encoder.1に感染したLinuxサーバではWebサイトのフォルダが暗号化され、ファイルを復号化して元に戻すための秘密鍵が欲しければ1ビットコイン(1 BTN:日本円で約5万円)を指定の送金先に送るよう要求するファイルが残されていました。
その後、Bitdefender Labs(http://labs.bitdefender.com)が、侵入はCMSのMagento(オープンソース版とエンタープライズ版がある)のセキュリティ脆弱性を利用したものであり、また復号化のための秘密鍵は生成可能であることを報告しています。

●マルウェアの名前:Linux.Rex.1
種別:ランサムウェア、トロイの木馬
発見日:2016年3月
概要:
CMSソフトウェアのDrupal, WordPress, Magentoの脆弱性を利用したランサムウェアです。
Webページをロックし、ビットコインでの支払を要求しますが、ロック機能は弱いとされています。また、スパムメールの送信や、感染したサーバによるボットネットを構築します。
Drupal, WordPress, Magentoの各スキャナーを持ち、CMSの種類とバージョンを特定した後、その脆弱性を利用して侵入します。
・Drupalの脆弱性:CVE-2014-3704。2014年10月に報告されたSQLインジェクションによるDrupalバージョン7.32以前の脆弱性。7.32でこの脆弱性は修正された。
・WordPressの脆弱性:各種プラグインの脆弱性を利用
・Magentoの脆弱性:CVE-2015-1397, CVE-2015-1398, CVE-2015-1399。
CVE-2015-1398は認証をバイパスして管理者権限を奪取される致命的な脆弱性。Magento(https://magento.com)からリリースされたセキュリティパッチを当てることで修正できる。

Drupalにおける防御方法:
・最新のバージョンにアップデートする。ただし、感染した後ではバックドアが隠されている可能性があるので、再インストールが推奨される
・感染した場合に備え、ファイルとデータベースのバックアップを取っておく
・マルウェアのインストールを防ぐため、Webサーバの実効ユーザ(例:apache)でのドキュメントルート以下や/tmp以下のファイルの作成を禁止する(書き込みが必要なディレクトリ以外)。

2016年にはLinuxのランサムウェアとして以上の他にも「Fairware」による被害が報告されています。

●マルウェアの名前:Linux/Ebury
種別:ルートキット、バックドア、トロイの木馬
発見日:2011年8月
概要:
EburyはSSHD rootkit、バックドア、トロイの木馬です。
2011年8月にEburyによる最初の被害が報告されてから、5年後の2016年8月に27歳のプログラマーが容疑者として逮捕されるまでの経緯は以下の通りです。
LinuxおよびUnix系サーバに多くの被害が報告されています。

2011年8月:
Linux Foundationが管理するkernel.orgのサーバに不正な侵入があり、ssh関連のファイルが変更されていることが発見された。
その後、9月から10月に掛けての約1ヵ月間、kernel.orgのサーバは復旧作業のために停止した。

2011年11月:
Steinar H. Gunderson氏が「a new SSH trojan」のタイトルで、新しいマルウェアについての調査結果を発表し、このマルウェアを「Ebury」と名付けた。
・/usr/sbin/sshd, /usr/bin/ssh, /usr/bin/ssh-addをマルウェアに入れ替える
・この3つのバイナリはsshのパスフレーズ、パスワードをシェアードメモリに記録し、その情報を疑似DNSパケットにして UDPの53番ポートから
攻撃者のホスト(あるいは攻撃者が乗っ取ったホスト)に送信する
・バックドアが作成され、バックドアからはパスワード無しでログインでき、ログには記録されない
・サーバへの侵入はsshへのブルートフォースアタック、あるいは盗んだ認証情報を利用、と推定

2013年2月:
サーバ管理ソフトウェアcPanel(http://cpanel.com)のサーバがEburyに感染し、cPanelが配布するsshdパッケージを利用したユーザのサーバもEburyに感染

2014年2月:
ESET社(スロバキアのセキュリティベンダー)がCERT‑Bund(ドイツのCSIRT), SNIC(スウェーデン国立のコンピュータ研究のインフラ組織), CERN(欧州原子核研究機構) 等の組織と連携して行ったEburyについての調査結果を公表

2014年3月:
ESET社がEburyを含む大規模な不正活動「Operation Windigo」についての詳細な調査報告書を公表。以下、その概要です。
・sshの認証情報を盗むEburyの他に、認証情報の送信に使われるDNSのバックドアOnimiki、ユーザのWebアクセスを悪意のあるコンテンツに誘導するCdorked、スパムメールを発信するCalfbotなどの複数のコンポーネントからなり、感染させたサーバ群によるボットネットを構築している。
調査報告書ではこの精巧で大規模な不正活動を「Operation Windigo」と名付けた。
・Linux(Intel、ARMアーキテクチャ)の他に、Apple OS X,OpenBSD, FreeBSD, Microsoft Windows(Cygwin)といった広範な種類のOSを感染対象とする
・調査報告書公表時までの2年間で約25,000台のサーバが感染。国別では被害の多い順に、米国、ドイツ、フランス、イタリア、英国、、、となっている
・侵入はサーバソフトウェアの脆弱性を利用したものではなく、パスワード認証によるシステム設定の脆弱性を利用したもので、これにより盗み取った認証情報をさらに利用している
・2011年8月のkernel.orgへの侵入では、Phalanx2 rootkitと初期バージョンのEburyが使われた
・CentOSのミラーサイトでもEburyに感染したサーバが発見されたが、パッケージが改竄された形跡はない
・SSHクライアントから感染したサーバのバックドアへのパケット、および感染サーバから認証情報を送信するDNSパケットはSnortルールで検知可能

2016年8月:
Linux Foundationが管理するKernel.orgの4台のサーバに悪意のあるソフトウェアをインストールした容疑で、フロリダ在住の27歳のプログラマーが逮捕される

Ebury感染の検査(IOC:Indicator Of Compromise):
Snortによる不正パケットの検知、sshの不正オプションの有無の検査、ipcsコマンドによるシェアードメモリの検査。

Eburyの除去:
Eburyのインストールはroot権限で行われる。root権限が奪取された場合はいかなることも可能なので、OSの再インストールが必要。
また認証情報が盗まれているので、すべてのユーザ認証情報の再作成(キーペアの新規作成、パスワードの新規設定)が必要。

侵入に対する防御方法:
・パスワード認証の禁止
・rootログインの禁止
・秘密鍵はファイルに保存せず、SSH Agent Forwardingを使用する
・2段階認証を採用する
・最新のアンチウイルス情報を使用する

用語:
●ドライブバイダウンロード(Drive-by download):
ドライブバイダウンロードは、ユーザに気付かせることなくウェブブラウザなどを介して不正なソフトウェアをダウンロードさせること。

●ソーシャル・エンジニアリング(Social Engineering):
心理上の隙や、行動ミスを悪用して秘密情報を不正に入手する方法のこと。

●フィッシング(phishing):
なりすましによるEメールで不正なWebサーバに誘導するなど、インターネットを介してユーザの秘密情報(例:ユーザ名、パスワード、クレジットカード情報)を盗むための詐欺行為。

●ボットネット(Botnet):
攻撃者によって構築された、インターネット経由の命令によって遠隔操作されるコンピュータ群。多くの場合、攻撃者が乗っ取ったコンピュータにより構成される。