新型「Mayhem Shellshock」のLinuxマルウェア感染について

Shellshockでのマルウェア感染について、本問題が未だ続いております。ELF、Perlと「shell script」新しい感染仕組みをほぼ毎日発見します。二日前に新型「MAYHEM」（メイヘム）ボットネットマルウェアの感染仕組みを発見しましたので、この記事で報告します。

「Mayhem」とはどんな物か。このリファレンスで確認が出来ます→　《１》 《２》 《３》

今回発見した新型「Mayhem」では感染の仕組みが変わりました。前回はPHPのログイン脆弱性を狙い感染を行いましたが、今回はwget（ダウンロード）でリモートサーバからPerlインストーラーをサーバーの/tmpにダウンロード＆実行し、Mayhemボットネットマルウェアの「.so」ELFインストーラーファイルをシステムに保存＆LD_PRELOADで実行されてしまいます。そのPerlのコードは下記の画像です↓

↑そのPerlにELFの「.so」ファイルがembedされており、安全に保存したいならこの作ったスクリプトを使って下さい。そして、ELFマルウェアファイルが下記の画像様に保存が出来ます↓


「Mayhem」マルウェア感染スキャナー(crawler)の部分も変わりました。前回は「Wordpress」又は「Joomla!」ログインページにアクセス攻撃が来る形でしたが、今回はShellshockの脆弱性に合わせ、スキャナ＆ダウンローダーの形になりました。下記の２パターンです。

パターン１｜スキャナー


パターン２｜インストーラー


国内のサーバにも上記の攻撃パターンが届きました↓


感染されたサーバには下記のネットワークトラックが発生してしまいます↓


本新型「Mayhem」について「Malware Must Die!」の正式な警告を発表させて頂きました→《MMD-0029-2014》
その警告にはマルウェア詳細な情報をもっと書いてあり、感染の攻撃先IPアドレスを報告しましたので、そのIPをブロックした方がいいと思います↓

パターン１の攻撃先IPアドレス（スキャナー）

103.244.50.23
116.193.76.20
177.87.80.17
184.107.246.98
187.16.21.42
190.10.14.37
192.169.59.190
192.3.138.103
194.27.156.249
200.80.44.160
202.76.235.110
205.186.134.213
209.11.159.26
216.121.52.101
37.187.77.163
50.193.119.109
54.213.225.160
67.214.182.202
69.10.33.130
69.20.200.203
91.221.99.35
93.74.63.83
94.23.113.220
95.211.131.148
103.7.84.13
89.206.41.50
85.232.60.34
91.130.113.149
110.44.30.204
83.168.199.4
[...]

パターン２の攻撃先IPアドレス（インストーラー）

100.42.61.126
103.253.75.208
108.168.131.219
162.144.46.158
166.62.16.106
176.67.167.180
198.167.142.184
209.126.148.164
209.200.32.76
212.175.22.224
75.101.129.180
82.165.36.8
82.200.168.83
95.110.178.157
[...]

現在５２件攻撃先のIP(色んな国の22件)を発見しています。

ウェブサーバのログにも下記のgrep仕方で新型「Mayhem」の攻撃が来たかどうかを確認が出来ます↓

"expr 1330 + 7"

本新型「Mayhem」マルウェアの発見について、世界のニュースにもなりましたので↓
1. Virus Bulletin
2. e-Week IT News
3. Threat Post
4. Security Affairs
5. PC World - Web sites, Business Security, Linux
5. Government Info Security
6. Softpedia - Server related security news
7. US Homeland Security - Daily Open Source Infrastructure Report [PDF] [HTML]
8. Info Security Magazine
9. CERT Hungary Alert (Hungarian)
10. Kaldata (Bulgaria) Security News
11. SecurityLab (Russia)
12. NovostIT (Russia)
13. HagDig
14. IndusFace
15. Akamai Blog: Five Good Security Articles
16. Security Week
18. ITHome (Taiwan)
and many more, Google search keywords: "mayhem shellshock malwaremustdie"

＊）研究で発見した証拠として「MalwareMustDie」のcreditが頂きました。

マルウェアサンプル↓

#ELF #Linux/#Mayhem CNC:188.120.246.60 InPerl https://t.co/rMLeO1bPP6 bins: https://t.co/5jnv6TWTj8 https://t.co/xmAjn1PtwM #MalwareMustDie!

— @unixfreaxjp October 7, 2014

To: @jpcert @kchr 日本国内から #Mayhem #Shellshock 攻撃を発見！ ホスト：kokuralab,com at @sakura_server 管理者に取り急ぎご連絡をお願いします。 画像：攻撃証拠 pic.twitter.com/MK5zCIPbP8

— @unixfreaxjp October 11, 2014

国内のウェブサーバにも本問題のご注意をお願い致します。