AhnLabはこのほど、「ShellBot Malware Being Distributed to Linux SSH Servers - ASEC BLOG」において、管理不十分なLinux SSHサーバを標的とするサイバー攻撃のキャンペーンが展開されていると伝えた。「ShellBot」と呼ばれるボットネット型マルウェアの亜種が、管理不十分なLinux SSHサーバにインストールされるという事例が発生している。
ShellBot(別名PerlBotとも呼ばれる)をLinux SSHサーバに配置するキャンペーンが確認されている。ShellBotは分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を行うために脅威者に使われるボットネット。Perlで開発され、IRCプロトコルを使用してコマンド&コントロール(C2: Command and Control)サーバと通信するという特徴を備え、Linuxシステムに対して攻撃を仕掛けるために脅威者に愛用されている古くからあるマルウェアとされている。
管理が不十分なLinuxシステムに対してポートスキャナおよびSSH BruteForceツールが使われ、取得したアカウント認証情報を使用してインストールされたと考えられている。22番ポートが稼働しているLinuxサーバをスキャンした後、SSHサービスがアクティブなシステムを検索して一般的に使用されているSSHアカウント認証情報のリストを使用し、辞書攻撃を開始したとみられている。その後、IRCプロトコルを利用してリモートサーバと通信したと分析されている。
AhnLabは、この種の攻撃が現在も多数発見されていると警告している。アカウントに推測が困難なパスワードを使用することや攻撃を防ぐために、最新のパッチを適用すること、外部からアクセス可能なサーバにはファイアウォールなどのセキュリティプログラムを使用してアクセスを制限することなど、必要なセキュリティ対策を実施することが求められている。