Imperva が先週、新しいクリプトジャッキング攻撃を発見し、RedisWannaMine と命名しました。Imperva によると、このマルウェアの最初の攻撃ベクトルは、Apache Struts に関連する既知の Web アプリケーション脆弱性のエクスプロイトであり、データベースサーバとアプリケーションサーバの両方に影響を与えます。しかしながら、Imperva は、この攻撃で悪用される脆弱性が存在するシステムの範囲や数を明らかにしていません。Imperva は、これまでのクリプトジャッキングのほとんどはその複雑さが限定的だったが、この新しい攻撃では、より高度なダウンローダが使用されている、と指摘しています。具体的には、回避技術と能力のどちらにおいてもこれまで以上に複雑であり、NSA の EternalBlue SMB 脆弱性を他の高度なエクスプロイトと併用して、ワームに似た動きをします。

Imperva は、RedisWannaMine に関連するいくつかのスクリプトを発見しました。発見されたシェルスクリプトの 1 つである transfer.sh には、いくつかの点で過去に発見されたクリプトジャッキングのダウンローダとの類似性が認められました。このスクリプトは、crontab の新しいエントリを使って感染ホストで常駐化し、「/root/.ssh/authorized_key」の新しい SSH キーエントリとシステム iptables ファイアウォールの新しいエントリを使ってマシンへのリモートアクセスを取得します。

このダウンローダには、これまでに発見されたクリプトジャッキングのダウンローダと比べて多くの改良点が認められます。その一例として、自給自足の機能があり、APT や YUM などの Linux 標準パッケージマネージャを使用して、複数のパッケージをインストールすることができます。さらには、外部に公開されている TCP ポートをスキャンする、masscan と呼ばれるツールを Github リポジトリからダウンロードしてコンパイルし、感染ホストにインストールします。GitHub プロジェクトの文書によると、masscan は「最速のインターネットポートスキャンツール」であり、インターネット全体を 6 分以内にスキャンし、毎秒 1,000 万パケットを送信することができます。

今回の調査によると、このマルウェアがホストに侵入すると、スクリプトが masscan ツールを使って別のプロセスを起動し、そのプロセスが、外部に公開されている Redis サーバを発見して感染させます。このツールは、パブリックとプライベートの両方の IP の TCP ポート 6379 をスキャンします。スキャンしたいずれかの IP アドレスが外部に公開されている場合、スクリプトが「redisrun.sh」というスクリプトを起動し、新しいホストを同じクリプトマイニングマルウェアに感染させるという動作を繰り返します。

RedisWannaMine はさらに、脆弱性が存在する Windows サーバに対しても EternalBlue SMB エクスプロイトを使用します。このマルウェアプロセスは、「ebscan.sh」と呼ばれる別のスキャンプロセスを起動し、masscan ツールを使用してプライベートとパブリックの両方の IP の TCP ポート 445 をスキャンし、脆弱性が存在する SMBバージョンが動作する、外部に公開されている Windows サーバを感染させます。

Imperva のブログ記事では、このマルウェアは、有名なクリプトマイニングのマルウェアを使って仮想通貨をマイニングし、その利益がハッカーのウォレットに送られるようにしていると説明しています。

RedisWannaMine の対策

いくつかの方法で、RedisWannaMine がサーバに感染するのを防ぐことができます。最小限の対策として、システムアップデートをインストールし、アプリケーションに最新のセキュリティアップデートを確実に適用します。そして、古い SMB バージョンなどの脆弱なプロトコルがネットワークでは無効になっていることを確認し、ファイアウォールを使用してアクセスを制限することで、Redis などのサーバが外部に公開されないようにします。この攻撃の詳細については、Imperva のこちらのブログ記事を参照してください。–Abdi Hagi