AhnLabは10月12日、「ShellBot DDoS Malware Installed Through Hexadecimal Notation Addresses - ASEC BLOG」において、ShellBotと呼ばれるボットネット型マルウェアの配布方法が変更されたと報じた。ShellBot自体の動作に変更はないが、配布方法を変更することで検出を回避しようとしている可能性が指摘されている。
ShellBot(別名PerlBot)は、Perlと呼ばれるプログラミング言語で開発された分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)のボットネット型マルウェア。このマルウェアはLinuxシステムを攻撃するために古くから脅威アクタに愛用されているとされる(参考:「ボットネット「ShellBot」、管理不十分なLinux SSHサーバに拡散中 | TECH+(テックプラス)」)。
一般的にIPアドレスは「ドット付き10進表記(xxx.xxx.xxx.xxx)」が使用されるが、ほかに10進表記や16進表記が可能とされる。代表的なブラウザやcurlコマンドはいずれの表記方法もサポートしている。ShellBotのインストールを試みる攻撃者は脆弱なパスワードを使用したLinux SSHサーバに侵入し、curlコマンドを使用してリモートからShellBotをダウンロード、実行する手順を踏むとされる。
AhnLabによると、攻撃者は16進表記(hxxp://0x00000000/)を使用したURLからShellBotをダウンロードすることで検出を回避し、標的のシステムにShellBotをインストールしたという。動作ベースの検出を行うセキュリティソリューションはこの方法で回避できる可能性がある。
AhnLabはこの攻撃を回避するために、インターネットに公開しているSSHサーバの管理者はすべてのアカウントに強力なパスワードが設定されていることを確認する必要があるとアドバイスしている。また、外部との接続をファイアウォールで制限し、脅威アクタの管理するサーバとの通信を制限することを推奨している。
なお、インターネットに公開しているSSHサーバの運用において、無制限のパスワード認証はブルートフォース攻撃により侵入される恐れがあり危険。強力なパスワードの設定も重要ではあるが、インターネットに公開しているSSHサーバの運用においては複数の防護策を講じることが推奨されている(参考:「SSHブルートフォースログイン攻撃を防ぐ基本的な対策 | TECH+(テックプラス)」)。