寄稿: Ayush Anand
シマンテックは、MySQL のサーバーを標的にして、他の Web サイトに対する分散サービス拒否(DDoS)攻撃を実行させるマルウェアを発見しました。攻撃者は最初に、悪質なユーザー定義関数(Downloader.Chikdos)をサーバーにインジェクトし、DDoS 攻撃を行うマルウェア Trojan.Chikdos.A を侵入させます。
シマンテックの遠隔測定によると、侵入を受けているのはほとんどがインドのサーバーで、中国、ブラジル、オランダがそれに続いています。
図. Downloader.Chikdos と Trojan.Chikdos.A の地域別の感染状況
シマンテックによる解析の結果、侵入を受けたサーバーは中国の IP アドレスと米国のホスティングプロバイダに対する DDoS 攻撃に使われていることが判明しました。
悪質なユーザー定義関数を使う
ユーザー定義関数(UDF)とは、MySQL の内部から呼び出せるコンパイル済みのコードで、MySQL がデータベース管理システムとして備えている以上の機能を実行できます。UDF は、サーバーのファイルシステム上にファイルとして存在します。
悪質な UDF を使って MySQL サーバーにアクセスする手法は目新しいわけではなく、Matthew Zimmerman 氏がこのレポートで詳しく論じています。攻撃者はまず、マルウェアのダウンロードやリモートシェルの作成といった悪質な機能を実装する UDF を作成します。次に、SQL インジェクション攻撃によって UDF を標的の MySQL サーバーにインストールします。
攻撃者が SQL コマンドを実行できる場合、DUMP パラメータを使ってシステム上の UDF ファイルをアップロードし、次にそれを MySQL に読み込むことができます。そのうえで UDF を実行すると、攻撃者が作成した任意の悪質なコードが実行されます。
Chikdos の攻撃手法
Chikdos が CERT.PL によって最初に報告されたのは 2013 年 12 月のことで、Linux と Windows のどちらも標的になっていました。Linux を狙うバージョンは、SSH(Secure Shell)辞書攻撃によって危殆化したコンピュータにインストールされました。
シマンテックが確認した Chikdos の最新の攻撃活動では、自動スキャナか、おそらくはワームを使って MySQL サーバーに侵入し、UDF をインストールします。ただし、正確な感染経路はまだ特定されていません。サーバーが感染すると、UDF は DDos ツールをダウンロードします。これが Trojan.Chikdos.A の亜種です。
Downloader.Chikdos
Downloader.Chikdos の亜種は、ランダムな名前の .dll ファイルであることが多く、MySQL がインストールされているサーバー上のディレクトリのうち、次のサブフォルダに存在します。
MySQL を通じてダウンローダが実行されると、次のようにレジストリのエントリを変更して TerminalServices を有効にします。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0”
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1”
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2”
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2”
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1”
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0”
TerminalServices を使うと、ユーザーはコンピュータやサーバーをリモートで制御できます。いったんそのようなアクセスが可能になると、マルウェアはハードコードされている URL からファイルをダウンロードします。
解析したサンプルは、2 つのファイルをダウンロードしていました。変更されたバージョンのダウンローダは、"qianhua" という名前の新しいユーザーをシステムに追加します。
サンプルによってダウンロードされていたファイルは、どちらも Trojan.Chikdos の亜種で、侵入を受けた 2 つの Web サイトにホストされているようでした。2 つのサイトは、ホストサーバーの正規の所有者によって無効にされた別のサイトを補う目的で使われていたと考えられます。
Trojan.Chikdos.A
解析した Trojan.Chikdos.A の亜種は、以前 CERT.PL で報告されたものとほとんど変わっていません。この脅威の亜種はサンプルにある PDB 文字列から特定でき、PDB 文字列には "Chicken" という値が含まれています。
Chikdos で確認されたアクティブなコマンド & コントロール(C&C)サーバーは、次のとおりです。
- 183.60.202.16:10888
- 61.160.247.7:10991
- 103.17.118.124:10991
なぜ SQL サーバーが狙われたのか
Trojan.Chikdos.A は感染したシステムからの DDoS 攻撃を実行するために使われることから、攻撃者が MySQL サーバーを標的にしたのは、その帯域幅の広さを利用するためと考えられます。MySQL のリソースを利用すれば、攻撃者は従来のように消費者を狙うより大規模な DDoS 攻撃を仕掛けることが可能になります。
MySQL が、全世界で 2 番目にユーザー数の多いデータベース管理システムであることも理由でしょう。広い範囲のユーザーを標的にすることができるからです。
対処方法
この種の攻撃に備えるために、SQL サーバーはできるだけ管理者権限で実行しないようにします。SQL サーバーを利用するアプリケーションには常にパッチを適用し、SQL インジェクションの脆弱性を回避するために適切なプログラミング習慣を守ってください。新しいユーザーアカウントが存在しないかどうか確認し、リモートアクセスサービスがセキュアに設定されていることも確かめましょう。
保護対策
ノートン セキュリティ、Symantec Endpoint Protection をはじめとするシマンテックのセキュリティ製品をお使いであれば、今回の記事で紹介した攻撃からは以下の検出定義で保護されます。
これらの脅威のハッシュは以下のとおりです。
Downloader.Chikdos のハッシュ
- 4c3750006f7b2c19dcddc79914ef61e0
- 4e4b5502bd47cf6a107793712f14a78f
- bb875b959263cd5b271c78a83c718b04
Trojan.Chikdos.A のハッシュ
- d0ffdc99d282d81afa828ad418f4301e
- 1d0c7d3484cf98b68ad6a233e3529ebe
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】