マルウェア

Golang系ボットネットGoBruteforcerによるWebサーバーへの攻撃

Clock Icon 3 min read
Related Products
Advanced DNS Security iconAdvanced DNS SecurityAdvanced Threat Prevention iconAdvanced Threat PreventionAdvanced URL Filtering iconAdvanced URL FilteringAdvanced WildFire iconAdvanced WildFireCloud-Delivered Security Services iconCloud-Delivered Security ServicesCortex XDR iconCortex XDRNext-Generation Firewall iconNext-Generation Firewall

This post is also available in: English (英語)

概要

Unit 42のリサーチャーは最近、Golangベースの新たなマルウェアのサンプルを発見し、これをGoBruteforcerと名付けました。このマルウェアはWebサーバー、とくにphpMyAdmin、MySQL、FTP、Postgresのサービスを実行しているサーバーを標的にしています。このサンプルはもともとは弊社の次世代ファイアウォールが捕捉したもので、調査を進めると、ある正規Webサイトにホストされていたことがわかりました。

さらに調べてみたところ、攻撃者はx86、x64、ARMの各プロセッサ アーキテクチャ用のバイナリーをホストしていたことが判明しました。また、GoBruteforcerは被害サーバーにインターネット リレー チャット(IRC)ボットを配置し、このボットが攻撃者のサーバーと通信していたことも判明しました。

本稿は、GoBruteforcer攻撃チェーンの構成要素を静的に概観して得た情報を詳述します。このマルウェアの実行が成功するには被害システムが特別な条件を満たしている必要があります。その条件とは、特定の引数が使用されていることや、標的サービスが(弱いパスワードで)既にインストールされていることなどです。

パロアルトネットワークスのお客様は、WildFire高度な脅威防御などのクラウド配信型セキュリティサービスを有効にした次世代ファイアウォールと、Cortex XDRにより、GoBruteforcerのようなマルウェア ファミリーやその悪意のあるコンポーネントからの保護を受けています。これに加え、高度なURLフィルタリングDNSセキュリティはコマンド&コントロール(C2)ドメインとマルウェアをホストしているURLをブロックできます。

関連するUnit 42のトピック Golang, Botnet, Web Server

はじめに

Golangとも呼ばれるプログラミング言語Goはマルウェア プログラマーの間でも人気が高まっている比較的新しい言語です。この言語は、ランサムウェア、インフォスティーラー(情報窃取型マルウェア)、リモート アクセス用トロイの木馬(RAT)など、さまざまなマルウェアを開発できる汎用性があることで知られています。とくにGolangベースのボットネットは、脅威アクターの関心を集めているようです。

GoBruteforcerはGolangで書かれた新手のボットネット マルウェアで、Webサーバー、とくにphpMyAdmin、MySQL、FTP、Postgresサービスを実行しているサーバーを狙います。

GoBruteforcerは攻撃時に特定のClassless Inter-Domain Routing(CIDR)ブロックを選んでそのネットワークをスキャンします。選ばれたCIDR範囲内のIPアドレスはすべて標的にされます。この脅威アクターは、単一のIPアドレスを標的として使うのではなく特定CIDRブロックのスキャンという方法をとることで、当該ネットワーク内のさまざまなIPアドレスをもつ幅広い標的ホストにアクセスしていました。

ホストが見つかった場合、GoBruteforcerはブルートフォース(総当たり)によるサーバーへのアクセスを試み、アクセス成功後は攻撃者のURLを含むIRCボットを展開します。

その後、PHP Webシェル経由で、被害システムに対するクエリー送信も試みます。私たちはこのWebシェルが被害サーバーに事前に展開されていたことを突き止めました。図1はこの攻撃の流れを表しています。

画像1はポート スキャンから始まるGoBruteforcerの攻撃チェーンを示したフローチャートです。
図1. GoBruteforcerの攻撃チェーン

図2にハイライト表示したcache_initファイルは、標的サーバーの/.x/ディレクトリにホストされていたGoBruteforcerマルウェアです。GoBruteforcerとPHP Webシェル キャンペーンの初期攻撃ベクトルが何だったかは今のところ不明です。

私たちは被害組織に対し、同組織のサイト上に悪意のあるGoBruteforcerバイナリーがホストされていたことを通知済みです。

画像2はGoBruteforcerバイナリーをホストしているWebサイトのディレクトリー インデックスのスクリーンショットを3つ並べたものです。親ディレクトリ以下のそれぞれのディレクトリー インデックスにあるcache_initファイルがハイライト表示されています。
図2. GoBruteforcerが被害サーバー上にホストされているところ

今回私たちが確認したハッシュをもつGoBruteforcerマルウェアは、主にUnix系(*nix)プラットフォームを標的としており、x86、x64、ARMアーキテクチャ向けのバージョンが存在します。サーバーのホスティングには*nix系オペレーティング システムが使われることが多いことからこれらが選ばれているものと思われます。

GoBruteforcerの開発は継続していると考えられることから、初期感染ベクトルやペイロードのようなものは近い将来変わる可能性があります。

スキャンとシステム アクセス

GoBruteforcerマルウェアのサンプルはUPXパッカーでパックされています。サンプル(SHA256: ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84)をアンパックしてみると、GoBruteforcerには攻撃対象CIDR内のホストをスキャンするためのマルチスキャン モジュール(図3)が備わっていることがわかりました。

画像3はGoBruteforcerのマルチスキャン モジュールのスクリーンショットです。
図3. GoBruteforcerのマルチスキャン モジュール

マルウェアは標的IPアドレス上でphpMyAdmin、MySQL、FTP、Postgresサービスのスキャンを開始します。攻撃者は前述すべてのサービスに対し、個別にスキャン モジュールを定義しています(図4)。

画像4はGoBruteforcerのモジュールがMySQLやPostgresなど異なるサービスをスキャンしているようすを示したスクリーンショットです。
図4. GoBruteforcerの内部モジュール。さまざまなサービスをスキャンしている

GoBruteforcerは、これらのモジュール内で、対象のサービス用ポートがオープンになっているかどうかをまずチェックします。このためにポート スキャン モジュール(図5)が全スキャンモジュール内で呼び出されます。

画像5はGoBruteforcerのポート スキャン モジュールの詳細を示したスクリーンショットです。
図5. ポート スキャン機能がすべてのスキャン モジュールに搭載されている

phpMyAdminサービスの場合

phpMyAdminサービスをスキャンする場合、標的ポート(80番ポート)が開いていれば、総当りで被害サーバーへのログインとアクセス取得を試みます。そのさいGoBruteforcerはバイナリー内部にハードコードされているクレデンシャル セットを利用します(図6)。

画像6はマルウェアのバイナリーのスクリーンショットで、ハードコードされた認証情報を表す多数の行が示されています。
図6. 総当り用のハードコードされたクレデンシャル

IRCボットの展開

phpMyAdminサービス経由で被害サーバーへのログインに成功すると、GoBruteforcerは被害サーバーにIRCボットを展開・実行します。ファイルfb5ab5はそれぞれx86_64とARMアーキテクチャ向けにコンパイルされたIRCボットです(図7、図8)。

画像7はGoBruteforcerがx86系プラットフォーム用IRCボットを展開するようすを示したスクリーンショットです(赤でハイライト)。
図7 GoBruteforcerがx86系プラットフォーム用IRCボットを展開しているところ
画像8はGoBruteforcerがARM系プラットフォーム用IRCボットを展開するようすを示したスクリーンショットです(赤でハイライト)。
図8. GoBruteforcerがARM系プラットフォーム用IRCボットを展開しているところ

その後GoBruteforcerはIRCボット経由でコマンド&コントロールチャネル(C2)と被害サーバーとの間の通信を開始します(図9)。

画像9はIRCボットを経由する被害サーバーとC2との通信を示すWiresharkのスクリーンショットです。
図9. 被害サーバーとC2とはIRCボットで通信

さらにこのIRCボットはcronに自分自身を登録して繰り返し実行させます。

画像10はIRCボットがcronに登録されるようすを黄色のハイライトで示した数行のコードのスクリーンショットです。
図10. IRCボットが自分自身をcronに登録

MySQLサービスとPostgresサービスの場合

MySQLサービス、Postgresサービスをスキャンするさい、GoBruteforcerはまずポート3306と5432が開いているかどうかをチェックします。開いていることを確認すると、特定のユーザー名とパスワードでホストのデータベースにping送信を試みます。図11と図12はこのアクティビティを示しています。詳しい情報はGolang Issuesフォーラム以下の投稿を参照することをお勧めします。

その後、GoBruteforcerはPostResultモジュールを呼び出します。このモジュールについては、後の「PostResultモジュールとWebシェル接続」のセクションで詳しく解説します。

画像11はGoBruteforcerのMySqlへのping送信をハイライトしたスクリーンショットです。
図11 GoBruteforcerによるMySqlへのping送信
画像12はGoBruteforcerのPostgresへのping送信をハイライトしたスクリーンショットです。
図12 GoBruteforcerによるPostgresへのping送信

FTPサービスの場合

FTPサービスをスキャンするさい、GoBruteforcerはポート21が開いているかどうかをチェックします。開いていることを確認すると、Golang用FTPクライアント パッケージのgoftpライブラリを使ってサーバーへの認証を試みます(図13)。

画像13はGoBruteforcerがFTPへのログイン試行でサーバーへの認証を試みているようすをハイライトしたスクリーンショットです。
図13. FTPへのログイン試行

被害サーバーでの認証に成功すると、GoBruteforcerはPostResultモジュールを呼び出します。

PostResultモジュールとWebシェル接続

GoBruteforcerは、各サービスのスキャン モジュールを実行した後、PostResultというモジュールを呼び出します。このモジュール内にはハードコードされたリンク(クエリ)が確認されています(図14)。

画像14はGoBruteforcerバイナリーのハードコードされたリンクをハイライトしたスクリーンショットです。
図14 GoBruteforcerバイナリー内で見つかったハードコードされたリンク

被害IPアドレス内のディレクトリをさらに調査したところ、SHA256がde7994277a81cf48f575f7245ec782c82452bb928a55c7fae11c2702cc308b8bxという名前のWebシェル(http[:]//被害者のIPアドレス/x)が見つかりました。このWebシェルはhttp[:]//5.253.[.]84[.]15(図15)と関連するPHPファイル、pst.php (SHA256: 602129f00bb002f07db07affa78d46f67bd0b2c8fb0867ea2da5fc3e73dd2665)と似ているように思われました。

このPHP Webシェルはリバース シェルとバインド シェルの機能を備えていました(図15)。

画像15は「Bind Shell (バインド シェル)」と「Reverse Shell (リバース シェル)」をハイライトしたPHP Webシェルのスクリーンショットです。
図15. Webシェル内のバインド シェル機能とリバース シェル機能

これらの機能のほか、このWebシェルにはパケットを加工するパケット クラフターの機能(図16)も備わっています。このパケット クラフターにはホスト、接続元ポート、宛先ポート、接続およびストリームのタイムアウトなどの入力オプションを設定できます。パケット クラフターを使うことで、攻撃者は標的ネットワークをより詳しく知ることができます。

画像16は、PHP Webシェルのスクリーンショットで、「Simple Packet Crafter」という文字がハイライトされています。左側にはオプションが表示されています。
図16. Webシェル内のシンプルなパケット クラフター機能


開発が続くGoBruteforcer

GoBruteforcerキャンペーン関連のサンプルを探していると別のサンプル(SHA256: acc705210814ff5156957c028a8d6544deaca0555156504087fdc61f015d6834)も見つかりました。このサンプルはGoBruteforcerファミリーの古いバージョンだった可能性があります。これはWebサーバーを感染させるのにphpMyAdminサービスだけを標的としていました。このサンプルは数ヶ月前にVirusTotalにアップロードされたもので、検出数は0でした(図17)。

画像17はVirusTotalのスクリーンショットで、古いバージョンのGoBruteforcerを表示しています。VirusTotalでの検出数は0です。
図17 VirusTotalの検出: GoBruteforcerの古いバージョン

結論

Webサーバーは今も昔も脅威アクターにはとってはうまみの多い標的です。Webサーバーは組織には不可欠なので、脆弱なパスワードは深刻な脅威につながる可能性があります。GoBruteforcerのようなマルウェアは弱いパスワードやデフォルトのパスワードを利用します。

GoBruteforcerボットはマルチスキャン機能を備えているのでネットワーク侵入口として利用しうる対象はそのぶん広くなっています。開発は活発に続けられているようで、近い将来この攻撃者はWebサーバーへの攻撃手口を変えてくる可能性もあります。

パロアルトネットワークスのお客様は、WildFire高度な脅威防御などのクラウド配信型セキュリティサービスを有効にした次世代ファイアウォールと、Cortex XDRにより、GoBruteforcerのようなマルウェア ファミリーやその悪意のあるコンポーネントからの保護を受けています。これに加え、高度なURLフィルタリングDNSセキュリティはコマンド&コントロール(C2)ドメインとマルウェアをホストしているURLをブロックできます。

IoC

ハッシュ値

de7994277a81cf48f575f7245ec782c82452bb928a55c7fae11c2702cc308b8b  Webシェル
602129f00bb002f07db07affa78d46f67bd0b2c8fb0867ea2da5fc3e73dd2665 Webシェル
acc705210814ff5156957c028a8d6544deaca0555156504087fdc61f015d6834  GoBruteforcerの旧バージョン
426b573363277554c7c8a04da524ddbf57c5ff570ea23017bdc25d0c7fd80218  IRCボット(x86)
726ccd223a1cfb60fc6c3b48ea3dbf057da918efac5acf620cd026ee38fb0044  IRCボット(ARM)
526767fbb26c911601371745d603885b75deabcc18261ed2d5a509d58f95d28e GoBruteforcer (x86_64)
dd3555025957cd51cd048d920027a0ff2d5501bc85792529217d54086e9351c2 GoBruteforcer (x86_64)
df7dc0fe7e90a2414ac188c55d06ad3882cfc7394869c9ffa549fb1ddb304919 GoBruteforcer (x86_64)
ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84 GoBruteforcer (x86_64)
5548935e7c6cf3b38240a0579cac36906e9883a1ec5e85335609e9e2062588c5 GoBruteforcer ARM(64-bit)
5627b138bc857081d2251edd7eb3b68cbd58dfff2f51b7cd34c893fffff2cfab GoBruteforcer ARM(64-bit)
5c1d3fb43e9e35b835e62e05a7b97ed66ab132eab35bfc18ce543e8f58ccf5e2 GoBruteforcer ARM(32-bit)
7c27ac0daba19de227fcc467abfcdefa99426c768a3601b1b181e9741717665b GoBruteforcer (x86)

URLおよびIP

  • 5.253[.]84[.]159/x
  • fi[.]warmachine[.]su

2023-03-13 09:45 JST 英語版更新日 2023-03-10 09:25 PST の内容を反映
2023-03-15 09:05 JST 英語版更新日 2023-03-14 06:20 PST の内容を反映

Tags

目次

関連記事

関連項目 マルウェア リソース

Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Lines of binary in the shape of a blue skull on a dark background
category icon脅威リサーチ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に
今すぐ読む Right arrow
An open laptop with a red target on the screen.
category icon脅威リサーチ

悪意のある OneNote サンプルのペイロードの傾向
今すぐ読む Right arrow
A mobile phone with technical details on screen. It is sitting on a glowing circuit board.
category icon主なサイバー脅威

[2024-05-21 09:55 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow