WordPressを狙うボットネット「Sathurbot」

Zeljka Zorz

May 17, 2017 08:00
by Zeljka Zorz

2万のボットからなるボットネットがWordPressを使ったサイトを探っている。WordPressのサイトを感染させ、 Sathurbotというバックドアとダウンローダーの機能を持つトロイの木馬を可能な限り広い範囲に拡散しようとしているのだ。

多様な脅威「Sathurbot」

「Sathurbotは自身をアップデートし、他の実行ファイルをダウンロードして実行することができる。我々は、BoaxxeやKovter、Fleercivetの変種を観測したが、すべてを挙げる必要はないだろう」とESETの研究者は述べている

SathurbotはWebクローラーでもあり、検索エンジンでターゲットを探し、そのサイトがWordPressで作成されたものかどうか(/wp-login.php が存在するか)を調べる。

ターゲットのリストがC&Cサーバーに送られると、ターゲットへのログインを試行するためにSathurbotボットネットが利用される。

「Sathurbotボットネットの各ボットは、1つのサイトに対して別のログイン情報を試す。ボットはそれぞれ、各サイトで一度だけログインを企て、他のサイトに移動する。これは、ボットのIPアドレスが標的サイトのブラックリストに載らないようにし、今後もそこに再訪できるようにするためのデザインだ」(ESETの研究者。以下同じ)

このように事を進めながら、このトロイの木馬は悪意あるtorrentのシーダーの役割も果たす。しかし全てのボットがこれを実行するわけではない。

Sathurbotの拡散方法

Sathurbotは少なくとも昨年、2016年6月頃から存在した。多くの場合、感染したページ(ほとんどがWordPress)で海賊版コンテンツ(映画やソフトウェア)らしきもののダウンロードさせようとユーザーを誘い、それらのtorrentファイルを提供することにより拡散する。

「何らかのtorrentクライアントを使ってダウンロードを始めると、そのファイルは広くシードされていて、正当なものに見える。映画をダウンロードしたら、その中身は動画の拡張子が付いたファイルと、コーデックパックのインストーラーに見えるファイルと解説ファイルだろう。ソフトウェアをダウンロードした場合は、インストーラーの実行ファイルに見えるものと小さなテキストファイルが入っている。どちらも、Sathurbot DLL をロードする実行ファイルを被害者に実行させるよう誘導するのが目的だ」

実行ファイルをダウンロードし実行すると、「ファイルにエラーがあります」というウィンドウが開く。しかしこれはただの目くらましで、裏ではマルウェアがインストールされ、C&Cサーバーに接続して指示を待つのだ。

Sathurbotの感染・攻撃経路(Sathurbot: Distributed WordPress password attackより)

攻撃者の最終目的

おそらく攻撃者はできる限り多くのコンピューターを感染させようとしている。そうすれば、必要なときに特定のマルウェアをそれらにインストールできるからだ。

ESETは、WordPressにインストールされるのを防ぐ方法や感染した場合の除去方法に関する役に立つアドバイスを出している。

ユーザーへのアドバイスは、信頼できる開発者のもの以外のソースからダウンロードされた実行ファイルを実行しないこと、元々動画共有のために作られたサイト以外からのダウンロードは避けること、の2つだ。
 
翻訳:編集部
原文:20,000-bots-strong Sathurbot botnet grows by compromising WordPress sites
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです。情報・データは Help Net Securityが公開した当時のものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

パスワードに代わる認証!? アリババの新たな試み

April 24, 2018 08:00

by 牧野武文

中国で普及したQRコード方式スマホ決済。普及とともにセキュリティリスクも指摘され、1日の利用限度額などの制限もかけられるようになった。そこで、アリババでは、セキュリティが確保でき、かつ認証操作が簡単な認証方式が追求されている。そのひとつとして、画像による認証方式がアリペイに搭載されたと中国のニュース…

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…