WatchDog: 2年にわたりオペレーションの続くクリプトジャックキャンペーンを暴く

This post is also available in: English (英語)

概要

本稿では、Unit 42のリサーチャーによって暴かれた、これまで知られているもののなかでも最大かつ最長のMoneroクリプトジャックオペレーションの1つについて解説します。このオペレーションは、Linuxデーモン名watchdogdにならって「WatchDog」と呼ばれています。WatchDogのマイニングオペレーションは2019年1月27日から実行されており、少なくとも209 Monero（XMR）、米ドル換算で約32,056ドル（日本円でおよそ340万円）を集めていました。リサーチャーは、少なくとも同時に476台の侵害されたシステム（主にWindows、*NIXのクラウドインスタンス）が、2年以上にわたり、マイニングオペレーションを実行していたものと考えています。

クリプトジャックとは、自身の所有・保守下にないシステム上でマイニングオペレーターがクリプトマイニングオペレーションを行う行為を指します。悪意のあるクリプトジャックオペレーションは現在クラウド環境の23％に影響を与えていると推定されていますが、これは2018年時点の8%と比べ15％の増加となっています。この増加は主に暗号通貨（仮想通貨）価値の急激な上昇によって引き起こされています。暗号通貨の背後にある技術、ブロックチェーンの世界市場は2024年までに607億ドルに達すると予想されており、犯罪組織やアクターグループはここから利益を得ようとしています。

本稿では、Unit 42のリサーチャーがWatchDogによるクリプトジャックキャンペーンの概要を説明します。WatchDogマイナーは、3部構成のGo言語バイナリセットとbashまたはPowerShellスクリプトファイルで構成されています。これらのバイナリには特定の機能があり、その1つがLinuxのwatchdogd機能をエミュレートしてマイニングプロセスがハング、オーバーロード、または予期せず終了しないようにすることです。2番目のGoバイナリは、IPアドレスネット範囲の構成可能リストをダウンロードし、その後スキャンオペレーション中に検出した識別済み*NIX、Windowsシステムを標的としたエクスプロイトオペレーション機能を提供します。最後に3番目のGoバイナリスクリプトは、開始されたbashまたはPowerShellスクリプトのカスタム構成を使用し、Windowsまたは*NIXオペレーティングシステム（OS）上でのマイニングオペレーションを開始します。WatchDogは、Goバイナリを使うことにより、オペレーティングシステムが違ってもGo言語プラットフォームが標的システムにインストールされてさえいれば、同じバイナリ（WindowsとNIX）を使って指定したオペレーションを実行できるようにしています。

リサーチャーはマイニングオペレーションの背後にあるインフラストラクチャの全体図を作成し、ルートIPエンドポイント18件と悪意のあるドメイン7件を特定しました。これらのドメインは、ツールセットのダウンロードに使用される少なくとも125件の悪意のあるURLアドレスを提供していました。

Unit 42は2019年10月にDockerHub上でワーム化可能なMoneroのマイニングオペレーションGraboidについて報告したことがあります。Graboidは、アクティブなシステムの総数という点でそれまでに知られていた最大のマイニングオペレーションでした。オペレーション時点でGraboidは少なくとも2,000台の侵害された公開済みDocker Daemon APIシステムで構成されていました。各Graboidマイナーは、一度に全体の65%を稼働させていました。つまり、同時には約1,300台（2000 * 0.65 = 1300）の侵害されたDockerコンテナがマイニングしていたことになります。さらにGraboidは、使用可能なすべてのコンテナ中央処理装置（CPU）を利用する構成スクリプトにより、より高い処理速度を達成することもできました。ただしGraboidはDockerHubイメージが削除されるまでの最大3か月間しか動作しないことがわかっていました。

これと比べ、WatchDogは悪意のあるペイロードのホスティングをサードパーティサイトに依存しないことから、本稿執筆時点で2年以上もアクティブな状態を保ってこられました。

WatchDogのオペレーターが熟練したコーダーであること、マイニングオペレーションにこれまでさほど注目を集めずにきたことは明らかです。現時点で追加のクラウド侵害アクティビティ（つまり、クラウドプラットフォームのIDおよびアクセス管理（IAM）資格情報、アクセスID、またはキーの窃取）の兆候はありませんが、クラウドアカウントはさらなる侵害を受ける可能性はあります。というのも、これらの攻撃者にはクリプトジャックソフトウェアの植え付けの段階で窃取済みのルートアクセスや管理者アクセスがあるので、そうした侵害済みクラウドシステム上でIAM関連情報も見つける可能性が高いからです。

パロアルトネットワークスのPrisma Accessは、PAN-OS経由で、WatchDogの18個のIPアドレス、7個のドメイン、関連URLアドレスをそれぞれ検出するように構成されています。Prisma Cloudもまた、Prisma Cloud Compute Defenderがインストールされたクラウド環境で、WatchDogマイナーによる悪意のあるXMRigプロセスが利用された場合、それを検出します。

パブリックマイニングプール

Unit 42のリサーチャーは、WatchDog構成ファイル内の3つのXMRウォレットアドレスを特定しました。これら構成ファイルはWatchDogマイニングバイナリと一緒にダウンロードされ、ここにマイニングオペレーション中に使用するXMRウォレットアドレスとマイニングプールが含まれています。構成ファイルconfig.jsonの例については図1を参照してください。

WatchDogで使用されるすべての既知のconfig.jsonファイルを調べ、私たちは3つのXMRウォレットアドレスを次のように特定しました。

43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR

82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4

87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv

これらの3つのXMRウォレットアドレスは、マイニングオペレーション、パフォーマンス、機能、支払い処理のため、少なくとも3つのパブリックマイニングプールと1つのプライベートマイニングプールで使用されています。

^{表1 WatchDogマイナーが使用するパブリックマイニングプールとプライベートマイニングプール}

次の8つのスクリーンショットは、特定された3つのXMRウォレットのそれぞれについて、f2pool、nanopool、およびGNTLパブリックマイニングプールから収集された調査結果を示しています。

f2poolマイニングプール

図2と図3は、f2poolパブリックマイニングプール内で頻繁に使用されている「43zq」で始まるXMRアドレスを示しています。このアドレスはおよそ200 XMRのMoneroを集めています。一方、「82et」で始まるXMRウォレットアドレスははるかに低い頻度で動作しており、こちらは 2.3 XMRしか集めていません（図4および5を参照）。

nanopoolマイニングプール

「82et」で始まるXMRアドレスは、f2poolパブリックマイニングプール内ではさほどアクティブではありませんでしたが、nanopoolパブリックマイニングプール（図6、図7を参照）では、「43zq」で始まるXMRウォレットアドレス（図8、図9を参照）よりも大きな関与が見られました。ただし、nanopoolマイニングオペレーションは、WatchDogマイニングオペレーション全体でマイニングされたXMR全体のほんの一部でしかなく、現在まででにマイニングされたのは6.8XMRコインとなっています。

GNTL XMRマイニングプール

「87qa」で始まるウォレットのマイニング能力をここにリストした3つのパブリックマイニングプールすべてに結びつける構成ファイルが1点特定されましたが、そのなかではGNTLのみに「87qa」XMRウォレットと関連するマイニングオペレーションが見られました（図10参照）。ただし、このXMRウォレットアドレスは、WatchDogオペレーション内ではあまり使用されていないようで、本稿執筆時点では「87qa」XMRアドレスでGNTLからマイニングされたのは0.59 XMRのみです（図10および11を参照）。

私たちは3つのパブリックマイニングプールすべてから収集したデータを使って、パブリックマイニングプール全体でXMRウォレットは平均1,037KH/sのハッシュレートを持つものと算定しました。次に私たちはクリプトマイニングオペレーションに積極的に参加しているシステムの現在の数を見積りました。その結果、控えめに見積もって、どの時点をとっても平均で476台のシステムがWatchDogマイニングオペレーションに積極的に関与しているものと考えています。

この見積もりは複数のクラウドプロバイダ最大手のCPUアーキテクチャ関連ドキュメントをベースに計算しています。すべてのクラウドプロバイダはクラウドVMインスタンスの大半でIntel XeonE5およびAMDEPYCCPUを使用していることを謳っています。

人気XMRマイニングソフトウェアXMRigのベンチマークハッシュ計算機を使うとミッドレンジのIntel Xeon E5やAMD EPYCシリーズ7などのプロセッサのハッシュレートを計算することができます。各プロセッサの単一スレッドは、AMD EPYCシリーズ7では543H/s（1秒あたりのハッシュ数）、Intel XeonE5では544H/sの推定ハッシュレートを生成できます。WatchDogマイナーの構成ファイルconfig.jsonを見ると、マイナーは侵害システムで最大4スレッドを使用することがわかります（図12参照）。

これにより、構成ガイドに従って最大4本のスレッドを使い、侵害システムは合計で平均2,172〜2,176 H/sを処理することになります。WatchDogのマイナーオペレーション全体の処理の平均合計は1,037KH/s（1000ハッシュ/秒）で、ここから考えると同時に計476台のシステムがマイニングオペレーションに参加する可能性があります。

システムの数は、侵害を受けて使用されたVMインスタンスの種類によって異なります。侵害されたすべてのシステムがXMRigオペレーションを同じ規模で処理できるわけではない点には留意すべきでしょう。ここで推定した数の2倍の約900システムが、一度に稼働している可能性もあります。このサイズのマイニングオペレーションは、比較的小さめで堅牢性の低いクラウドVMインスタンスが侵害され、XMRハッシュ処理に使用された場合に達成できるものです。

WatchDogのインフラストラクチャ

WatchDogマイナーは、少なくとも2019年1月27日からアクティブになっています。このことはパブリックマイニングプールのデータから確認できます。これ以降、WatchDogのインフラストラクチャに向けられたマルウェアサンプル、とくにシステムを開始する初期化bashスクリプトや、新たに侵害されたシステムのマイニング構成プロセスが多数特定されています。

これら初期化bashスクリプトの分析を通じ、WatchDogのアクターが侵害システム上でマイニングオペレーションをどのように設定したかを追跡することができました。スクリプト作成者は、意図せずマイニングインフラストラクチャのセットアップや構成方法の手がかりを残していました。既知のすべてのオペレーションで、初期化bashスクリプトが侵入先システムにダウンロードされ一連の機能を実行します。機能の一部はほとんどのクリプトジャックオペレーションと共通していて、たとえばクラウドセキュリティツールの削除、以前にインストールされた既知の悪意のあるクリプトマイニングソフトウェアの削除、カスタマイズされた悪意のあるクリプトマイニングソフトウェアのダウンロードとセットアップなどを行います。ただしWatchDogのbashスクリプトマイナーは、WatchDogマイニングツールキットのダウンロードに使用するプライマリ/セカンダリURLアドレスのハードコードもしています（図13を参照）。

これらのプライマリ/セカンダリURLアドレスを使い、WatchDogマイナーオペレーターが利用しているネットワークインフラストラクチャをおおよそでマッピングすることができました。

次のMaltegoチャートは、WatchDogが利用している既知のオペレーションインフラストラクチャの全体的サイズを示しています（図14参照）。

現在までで、18個の既知IPアドレス、7つの既知ドメインが少なくとも125件のURLをホストしており、これらがWatchDogマイナーマルウェアと構成ファイルを提供してきたか、現在も提供を続けています。マルウェアの大半は *NIX オペレーティングシステムに的を絞っているようですが、既知の複数のホストシステムにホストされているWindows OS用バイナリも見つかっています。

^{表2 WatchDogマイナーに関連付けられた18個の既知IPアドレス}

^{表3 WatchDogマイナーに関連付けられた7つの既知のドメイン}

WatchDogのマイニングオペレーション関連の既知URLアドレスの全リストは本稿末尾の「IOC」セクションから参照してください。

私たちは本稿の調査時点でこれらホストシステムの一部がまだ機能していることを確認しています。こうした稼働中のシステムから、さらなる分析のために悪意のあるファイルを複数取得することができました。ファイルとそのSHA-256ハッシュ値の全内訳は巻末のIOCセクションに記載しておきます。

WatchDogマルウェアの内訳

ここでは相関する5つのマルウェアサンプルを選び、その機能を説明します。クリプトジャックオペレーションはbashスクリプトnewdat.shから始まるようです。このスクリプトで、3つの独立したGoバイナリファイルと1つのJSON構成ファイルconfig.json用のダウンロード可能コンテンツを定義しています。本稿で詳説するGoバイナリは、ネットワークスキャナでエクスプロイトバイナリのnetworkmanager、プロセス監視バイナリのphpguard、悪意のあるXMRig暗号化ソフトウェアの1バージョンであるphpupdateです。

newdat.sh

私たちは4つの異なるファイル名をもつbashスクリプトを特定しました。これらは同一のインフラストラクチャを使い、同じネットワークスキャン、システム構成のオペレーションを実行しています。ファイル名はそれぞれinit.sh、 newinit.sh、 newdat.sh、update.shとなっています。

初期化スクリプトには次の8つのユニークなオペレーションが含まれています。

• 環境設定
  • ファイルとディレクトリの読み取り/書き込み権限の構成を行い、ダウンロードしたファイルを事前に構成した場所に保存します。
• クラウドセキュリティツールのアンインストール
  • これにはAlibaba Cloud Security CenterとTencent Cloud Security Operations Centerが該当します。
  • こうしたオペレーションはRockeやTeamTnTなどのグループを含め、複数のクリプトジャックオペレーションでよく見られるものです。
• ツールキットのダウンロード
  • 3つのGoバイナリと構成ファイルをダウンロードします。
• kill_miner_proc
  • 既知のマイニングプロセスを強制終了します。
• kill_sus_proc
  • すでにインストールされているWatchDogマイニングプロセスを強制終了します。
• ダウンロード
  • スキャンに使用するIPアドレス範囲をダウンロードします。
• unlock_cron
  • /etc/crontabファイルをアンロックします。
• lock_cron
  • /etc/crontabファイルをロックします。

Unit 42のリサーチャーが特定したなかでももっとも有用なスクリプトオペレーションの1つはおそらくWatchDogツールキットのダウンロード場所に関するセクションでしょう。前のインフラストラクチャのセクションで説明したとおり、これらのスクリプトは、悪意のあるクリプトジャックファイルが現在どのエンドポイントでホストされているかについての詳細を示しています。

図15が示すように、newdat.sh スクリプト内にはハードコードされたリンクがあり、これらがURLアドレスを指定したり、マイナーのバイナリや構成ファイル、スキャン用バイナリ、WatchDogプロセス、さらには別バージョンの初期スクリプトまでも識別しています。これにより、アクターはアクティブなマイナーをほぼリアルタイムで更新できます。

これらの各バイナリについては、次のセクションで調査します。最初に解説するのはGo言語スキャンバイナリnetworkmanagerです。

networkmanager

このnetworkmanagerはUPX圧縮されたGo言語バイナリで、ネットワークスキャン向けに設計されています。脆弱性のある標的が特定されると、強固な組み込みアプリケーションエクスプロイトセットを使い、特定済みのシステムを侵害しようとします。私たちは、このアクターが、同一のスキャン/エクスプロイト機能を実行するさいに、2つの異なるファイル名を使うことを特定しました。それがnetworkmanagerとnetworkserviceです。

スキャンオペレーションは先に説明したbashスクリプトnewdat.shが開始しますが、実際のスキャンオペレーションやエクスプロイトオペレーションの実行を担うのはスキャナバイナリです。WatchDogのスキャン用バイナリは、個別の中国のIPアドレス範囲60,634個で構成されるファイルを使用しますが、このファイルは、networkmanagerバイナリによるシステム検出の段階でダウンロードされます。Goバイナリのメインの初期化関数sym.go.main.ipc.download_ipdb内で、networkmanagerバイナリは、以下の2つのIPアドレス範囲ファイルのいずれか1つをダウンロードします。

http://83.97.20[.]90/cccf67356/ip_cn.txt

http://83.97.20[.]90/cccf67356/ips_cn.txt

IPアドレス範囲はバイナリ形式で保存されていますが、ASCIIに変換して対象IPアドレス範囲を確認できました（図16参照）。

私たちがこれらのファイルをダウンロードしたところ、ダウンロード時点では両ファイルのSHA-256ハッシュ値は同じだったので、ファイルのコンテンツは同じものが含まれていたように見えます（ad3efb9bfd49c379a002532f43cc4867a4f0b1cd52b6f438bb7a8feb8833b8f8）。pnscan、masscanプロセスがこれらの2つの同一ファイルを使い、潜在的被害者のネットワーク範囲をスキャンします。

本稿でのダウンロード時点では、これら2つのファイルには中国に関連するIPアドレスのみが含まれているようです。WatchDogの背後にいるアクターは、バイナリを更新し、標的にしたいIPアドレス範囲をいくつでも含めることができる可能性があります。また、実際にそうなっている可能性があります。私たちは中国のIPアドレス空間外、具体的には米国およびヨーロッパにおいて、WatchDogマイナーに侵害されたホストを特定しています。

つづいて networkmanagerのGoバイナリにロードされるのが33個の個別のエクスプロイト関数、32の個別RCE関数、複数のシェルグラバー関数です（図17参照）。

具体的には次のアプリケーションがスキャンバイナリ内で標的とされています。

• CCTVエクスプロイト
  • 対象がCCTVアプライアンスなのかあるいは「cctv」が表す別の呼称が存在するのかはいまのところ不明
• Drupal
  • バージョン7および8
• Elasticsearch
  • CVE-2015-1427（Elasticsearchサンドボックス回避 – 1.3.8より前のバージョンと1.4.3より前の1.4.x）
  • CVE-2014-3120（1.2より前のElasticsearch）
• Apache Hadoop
• PowerShell
  • エンコードされたコマンドラインオペレーション
• Redis
• Spring Data Commons
  • CVE-2018-1273の脆弱性のある1.13-1.13.10、2.0-2.0.5より前のバージョン
• SQL Server
• ThinkPHP
  • バージョン5.x、5.10、5.0.23
• Oracle WebLogic Server
  • CVE-2017-10271 – バージョン10.3.6.0.0、12.1.3.0.0、12.2.1.1.0、12.2.1.2.0

「tmp_0324_scan」への参照は2019年5月19日に中国語の情報セキュリティグループforum.90sec.comのブログ投稿ですでに確認されています。同グループのブログでは、Apache Hadoop、Redis、ThinkPHPアプリケーションを対象としたクリプトジャックのエクスプロイトイベントの詳細を取り上げています。

注目すべきはブログ内で強調表示されていたbashスクリプトがWatchDogマイナーが使用するシェルスクリプト（図18を参照）newinit.sh と同じ形式を踏襲しているという点です。ファイル名とIPアドレスが異なることを除けば2つの形式は事実上同じものです。

さらに、同投稿内の「tmp/0324/scan」への参照は、networkmanagerバイナリ関数内で見られるものと同じ形式でリスト化されています（図17および19を参照）。

2019年5月19日に90secが観測したアクティビティは、今回私たちリサーチャーがWatchDogマイナーの形で確認したクリプトジャックマルウェアファミリと同じものであることは明らかです。同じエクスプロイトが使用されているようすがあるなど、これらマルウェアの過去・現在の形式には、類似点が複数見られます。ただし、新たな手法が開発され、WatchDogのより新しいバージョンに実装されてもいます。具体的にはphpguardバイナリについてそうした手法が見られます。

このほか、denisenkom/go-mssqldbライブラリがGoバイナリに追加され、Go言語経由でSQL DB関数にアクセスできるようになっています（図20を参照）。これには、リモート接続、エラー処理、バルク操作、ロギング、データ操作などが含まれます。

またこのGoバイナリにはGoogle Cloud library Go Civilもロードされています。これにより、正確な24時間、60分、60秒のグレゴリオ暦の使用が可能になります。このほかGithub Redis Goライブラリもロードされており、これでバイナリによるRedisサービスの制御を可能にしています。

phpguard

phpguardはUPX圧縮されたGo言語バイナリで、オペレーション中、マイニングソフトウェアを保護するように設計されています。phpguradは、システムプロセスとタスクスケジューラ、またはcronジョブを監視する機能を実行することで、マイニングソフトウェアが確実に実行されるようにしています。私たちは同一の保護機能を実行するバイナリ2つをphpguard、sysguardという異なるファイル名で特定しています。

このGoバイナリは、カスタムGoライブラリ「tmp_0324_dog_platform」（図21を参照）を使い、Windowsまたは*NIXシステムのXMRigマイニングソフトウェアを制御することができます。

さらにこのバイナリは、対象OS内にマイニングソフトウェアを埋め込みます（図22を参照）。Windowsシステムの場合は、タスクをスケジュール化することでこれを実現し、*NIXシステムの場合は、cronジョブ経由で埋め込みます（図23を参照）。

このバイナリは、OSが実行中の各プロセスを継続的にクロールすることで、マイニングプロセスが実行中であることを確認します（図24参照）。

このバイナリは、マイニングプロセスを確実に保護するために設計されています。バイナリの初回実行時には保護のための新しいプロセスを設定し、マイニングソフトウェアが起動していなければ起動させ、マイニングソフトウェアがまだダウンロードされていなければダウンロードプロセスを開始します（図25参照）。

phpupdate

phpupdateプロセスは、WatchDogマイナーが使用するXMRigマイニングソフトウェアです。Unit 42のリサーチャーは、同じマイニングオペレーションを実行するバイナリについてphpupdate、zzh、traceという3つの異なるファイル名を特定しています。

WatchDogマイナー版のXMRigやそのマイニングオペレーションについては、すでに知られているマイニングソフトウェアのオペレーションから外れるようなものはとくにないので、ここで説明すべきことはほとんどありません。このバイナリはさまざまに構成可能なオペレーションメニューを提供し、以下のようなマイニング上のオプションをユーザーが指定できるようにしています（図26参照）。

• マイニングプールのURL。
• マイニングアルゴリズム（または目的のコイン）。
• ユーザー名。
• パスワード。
• プロキシ情報。
• キープアライブパケットの送信
• パケットのサイズ（他多数）。

直前のセクションで説明したようにこマイニングソフトウェアはGoライブラリphpguardからも制御可能ですが、ユーザーが直接対話的にオペレーションすることもできます。

結論

WatchDogのマイニングオペレーションは早ければ2019年1月27日には実行されており、少なくとも209 Monero（XMR）、米ドル換算で約32,056ドル（日本円でおよそ340万円）を集めていました。WatchDogのアクターはUPX圧縮されたGo言語バイナリによるクラウドでの効率が高いクリプトジャックマルウェアを使います。それにより、Windows/Linuxの両オペレーティングシステムにGoプラットフォームがインストールされていればどちらのオペレーティングシステムでも侵害できるようにしているのです。現時点では、WatchDogマイニングインフラストラクチャには18個のIPアドレスと7個のドメインが含まれていることがわかっています。これらの悪意のあるエンドポイントは、WatchDogマイニングツールキットのダウンロードに使用される少なくとも125のURLアドレスをいずれかの時点でホストしていたか現在もホストしています。さらに、スキャンとエクスプロイトを行うバイナリのnetworkmanagerには、32個のRCE関数を含む33の固有のエクスプロイトがロードされています。WatchDogマイニングオペレーションは非常に大規模で、少なくとも476台の侵害されたシステムが常にマイニングしていると推定されます。

WatchDogのオペレーターが熟練したコーダーであること、マイニングオペレーションにこれまでさほど注目を集めずにきたことは明らかです。現時点で追加のクラウド侵害アクティビティ（つまり、クラウドプラットフォームのIAM資格情報、アクセスID、またはキーの窃取）の兆候はありませんが、クラウドアカウントはさらなる侵害を受ける可能性はあります。というのも、これらの攻撃者にはクリプトジャックソフトウェアの植え付けの段階で窃取済みのルートアクセスや管理者アクセスがあるので、そうした侵害済みクラウドシステム上でIAM関連情報も見つける可能性が高いからです。

パロアルトネットワークスのPrisma Accessは、PAN-OS経由で、WatchDogの18個のIPアドレス、7個のドメイン、関連URLアドレスをそれぞれ検出するように構成されています。Prisma Cloudもまた、Prisma Cloud Compute Defenderがインストールされたクラウド環境で、WatchDogマイナーによる悪意のあるXMRigプロセスが利用された場合、それを検出します。

IoC

IPアドレス

ドメイン

URLアドレス

ファイル