JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月20日、「仮想通貨マイニングツールの設置を狙った攻撃 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、インターネットからアクセス可能なサーバに不正ログインして仮想通貨マイニングツールを設置する事例を紹介した。攻撃者がどのようにサーバへの不正侵入を行い、横展開を実施していくのかがわかりやすく解説されている。
指摘されている主な注目点は次のとおり。
- 今回被害を受けたサーバはインターネットからSSHによるログインが可能な状態になっており、最終的にrootアカウントでのログインが行われていた。このサーバは内部ネットワークからもアクセス可能で、侵入後は内部ネットワークのサーバにSSHブルートフォース攻撃を実施し、SSHログインが可能な内部のサーバへ横展開を実施。それらに仮想通貨MoneroのマイニングツールXMRigを設置していた。
- XMRigの実行にはXHideと呼ばれるプロセス隠蔽ツールが使用されていた。
- XMRigやそれに関するツールは名称がわかりにくいものへ変更されていた(XMRig→init、XMRigを繰り返し実行するbashスクリプト→system、XHide→h64)。
- ログ内部の中身は削除されていた。
- 最初に侵入したサーバから外部のランダムな通信先に対して大量のスキャンが行われていた(3691番ポートへのスキャンやSSHブルートフォース攻撃が大量に行われていたが、なぜ3691番ポートなのかは不明とされている)。
今回JPCERT/CCが取り上げた攻撃事例は、以前から存在しているありふれた攻撃方法とされている。こうした攻撃に対しては、SSH利用時のアクセス制限やSSH公開鍵認証の利用などが効果的とされている。