水曜日, 6月 24, 2015

【警告】 Linux/Xor.DDoSマルウェアの感染

下記のIPアドレスから↓
104.143.5.15||36114 | 104.143.0.0/20 | VERSAWEB-ASN | US | versaweb.com | Versaweb LLC
107.182.141.40|40-141-182-107-static.reverse.queryfoundry.net.|62638 | 107.182.140.0/23 | QUERY-FOUNDRY | US | queryfoundry.net | Shanghe Yang

下記のログは参考で↓
2015-06-23 01:29:42+0900 connection: 107.182.141.40:41625 [session: 5899]
2015-06-23 01:29:42+0900 connection: 104.143.5.15:51433 [session: 5900]

root権限のアクセスのssh攻撃を行い
2015-06-23 01:29:43+0900 root trying auth
2015-06-23 01:29:43+0900 root trying auth
2015-06-23 01:29:43+0900 root trying auth
2015-06-23 01:29:43+0900 root trying auth 

下記のLinux/XOR.DDoSマルウェアがサーバにインストールされました↓
(a06.zip) = 3c49b5160b981f06bd5242662f8d0a54
(a07.zip) = bcb6b83a4e6e20ffe0ce3c750360ddf5
(a08.zip) = a99c10cb9713770b9e7dda376cddee3a
(a09.zip) = d1b5b4b4b5a118e384c7ff487e14ac3f
(a10.zip) = 83eea5625ca2affd3e841d3b374e88eb

【重要】本攻撃が日本国内のサーバに来てしまいました。

本マルウェア攻撃の警告を書きましたので、MMD-0033-2015(英文ですみません)
攻撃は現在止まりましたがマルウェアダウンロードサーバとCNCが未だアップされていますので、また別のIPから攻撃が来る可能性があり、念の為に下記のマルウェアサーバのIPもブロックして下さい↓
44ro4.cn         198.15.234.66 (マルウェア・ダウンロードサーバ)
aa.hostasa.org  23.234.60.143 (マルウェアconfigサーバ)
ns2.hostasa.org. 103.240.140.152 (CNC1)
ns3.hostasa.org. 103.240.141.54  (CNC2)
ns4.hostasa.org. 192.126.126.64  (CNC3)

本マルウェアに感染されたら、感染されたマシンがリモートからコントロールされてddosボットネットになります。
マルウェアの特徴はXORの暗号化機能です↓

参考情報は【1】 【2】 【3】です。

0 件のコメント:

コメントを投稿