ボットネットは、サイバーセキュリティ攻撃を行う悪意のある攻撃者にとって便利です。
Ebury は、2009 年以来 Linux サーバーを悩ませているボットネット マルウェアの 1 つです。
15年経った今でも、それは存在し続け、進化し、新しい戦術を使用しています。
ESETの研究者が新たな論文を発表報告マルウェアがサーバーに感染する仕組みと、マルウェアのさらなる拡散を防ぐための対策について説明します。
Ebury ボットネット マルウェアとは何ですか?またその影響は何ですか?
Ebury ボットネット マルウェアは、侵害されたサーバーから認証情報を盗みます。機密データはダークウェブで販売されたり、影響を受けるサーバー管理者を脅迫するために使用されたりする可能性があるため、純粋に金銭的利益を目的として設計されています。
15 年間で、Ebury は 40 万台以上の Linux サーバーへの侵入に成功しました。これは決して小さい数字ではありませんが、ESET によれば、侵害されたのは 25% だけです。
これは、10 万台近くのサーバーが依然として感染しており、Ebury の存在に気づいていないことを意味します。
「加害者は侵害したシステムを追跡しており、私たちはそのデータを利用して毎月ボットネットに追加される新しいサーバーの数のタイムラインを作成しました」とESETは述べています。
エベリーの進化
2017 年にボットネット マルウェアの作成者が逮捕された後も、ボットネット マルウェアは拡散し続けました。 ESET は定期的にハニーポットを展開し、Ebury を誘惑して自分自身を感染させ、マルウェアを研究させます。
しかし、時間が経つにつれて、ハニーポットはエブリーの感染に反応することができなくなりました。そうした事件の 1 つでは、マルウェアが図々しくも「Hello ESET ハニーポット」メッセージを送信しました。
このマルウェアはハニーポットの識別能力を向上させており、研究者にとってはますます困難になっています。
Ebury は、複数のサーバーへのゲートを開くホスティング プロバイダーをターゲットにすることを好みます。 1 つのサーバーを追跡するよりも、複数のサーバーをキャプチャして覗き見する方が魅力的です。
ESET が仮想サーバーをレンタルしたところ、Ebury は 1 週間以内に感染しました。
ハッカーはトラフィックを傍受し、資格情報を取得するサーバーにユーザーをリダイレクトすることも好みます。
暗号通貨ノードはウォレットの認証情報にアクセスして資金を送金するため、主な標的となります。
このマルウェアは、痕跡を隠蔽することに非常に優れています。新しい難読化技術を使用して管理者の目から隠します。
オランダ国家ハイテク犯罪対策局 (NHTCU) と ESET は、仮想通貨盗難の被害者のサーバー上でマルウェアを発見したことを受けて協力しました。
マルウェアの詳細については、次をご覧ください。公式研究論文。試してみることもできますEbury検出スクリプトGitHub で入手できます。
