マルウェアに感染したエラーページ:LinuxとWindowsで増大する脅威

  • クリプトジャッキング キャンペーンでは、エラー ページを使用して Linux および Windows 上でマルウェアを配布しています。
  • マルウェアは、HTML コード内の Base404 ペイロードを使用して、一見無害な 64 ページに隠れています。
  • 攻撃者は、公開された PostgreSQL データベースと侵害されたサーバーを利用してマルウェアを拡散します。
  • 悪意のあるプロセスは正当なプロセスに偽装して隠れたまま実行されるため、パフォーマンスの低下やエネルギーコストの増加を引き起こします。
Isaac

4分

Linux および Windows 上のマルウェアに関するエラー ページ

最近数ヶ月の間に、いくつかの調査で、 404エラーページの使用における新たな傾向 特にLinuxおよびWindowsシステム上でマルウェアを拡散するために使用されます。この手法により、サイバー犯罪者は一見無害なページにペイロードを隠すことができ、従来のWeb分析およびフィルタリングシステムによる検出を困難にします。

ラス 操作されたエラーページ これらは、インターネットに公開されているサーバーやサービスの設定上の欠陥を悪用して、攻撃者がクリプトジャッキング キャンペーンやその他の脅威を開始するための効果的なツールになっています。 この手法は、悪意のあるコンテンツが一般的な HTML タグ内に隠されており、ほとんどの静的スキャナーでは検出されないため、セキュリティ チームにとってさらなる課題となります。

改変された404ページによる感染の仕組み

これらのキャンペーンの核となるのは、通常、 管理されたドメインから偽のエラーページを要求するローダー 攻撃者によるものです。カスタムブックマークに隠されたページコードの中には、Base64でエンコードされたブロックが含まれており、これは被害者のシステムのメモリ内で復号化されます。そのため、ディスクをスキャンして疑わしいファイルを探す従来のウイルス対策ソフトウェアでは、侵入を検知することが非常に困難になります。

の場合 Linux感染プロセスは、リモートサーバーからスクリプトをダウンロードして実行する単純なコマンドから始まります。このスクリプトは、マシンから他のマイナーを削除し、フォレンジック分析を妨害するためにログの一部を削除し、管理者権限がある場合は、より多くの暗号通貨を抽出できるように特定のシステムパラメータを最適化します。これらの準備の後、感染したシステムは特定のバイナリ(多くの場合、正規のプロセスを装っています)を実行し、攻撃者のサーバーに接続して暗号通貨の継続的なマイニングを開始します。

その部分については、 Windows攻撃者はcertutilやinvoke-webRequestなどのユーティリティを使用してマルウェアをダウンロードし、公開アクセス可能な場所に配置し、一見無害なプロセスに挿入します。その後まもなく、元のファイルはすべての痕跡を消去するために削除され、マイナーはバックグラウンドでアクティブなままとなり、システムの再起動後も存続します。

拡張: 脆弱なウェブサーバーとデータベース

この脅威は個々のコンピュータだけに影響を与えるのではありません。最近の攻撃のかなりの部分は、 侵害されたウェブサーバーTomcat を実行しているサーバーや、設定ミスのあるクラウドサービスなどです。犯罪者は、脆弱な認証情報や公開された PostgreSQL データベースを悪用してマルウェアをアップロードし、そのサーバー自体をネットワーク内の他のデバイスへの攻撃の足掛かりとして利用する可能性があります。

実際、多くの被害者はダッシュボードに エネルギー消費の急増 パフォーマンスの低下は、ハードウェアが不正に暗号通貨の採掘に利用されている場合によく見られる症状です。

GIGABYTE
関連記事
ギガバイトマザーボードの脆弱性:永続的なマルウェアリスクと推奨事項

隠蔽と持続のテクニック

こうしたキャンペーンで最も懸念される点の一つは、その隠蔽メカニズムの巧妙さだ。 マルウェアは正当なプロセスを装う (システム コンポーネントに似た名前を持つ) マイナーは、Linux の cron ジョブや Windows レジストリのエントリなどの定期的なタスクをスケジュールし、ユーザーまたはセキュリティ ソフトウェアによって停止された場合にマイナーが自動的に再起動されるようにします。

このアプローチにより、攻撃者は疑いを持たれることなく長期間にわたってデバイスの制御を維持できる一方で、電力消費と生産性の低下による経済的損失が静かに蓄積されていきます。

これらの脅威から身を守るために、管理者とユーザーはシステム構成を常に見直す必要があります。不要なサービスやデータベースをシャットダウンし、トラフィックを分析して、不明なドメインへの繰り返しの接続やCPU使用率の異常な急上昇などの異常な動作がないか確認することをお勧めします。

La プロアクティブな監視 こうした攻撃は、気付かれないようにますます巧妙かつ高度な手法を採用するようになり、攻撃を検出して無効化するには、メモリと実行中のプロセスを検査する専用ツールの使用が不可欠です。

エラーページを攻撃ベクトルとして利用する行為は、サイバー犯罪者がLinuxおよびWindowsシステムのあらゆる脆弱性を悪用するために、いかに戦略を進化させ続けているかを示しています。積極的な防御態勢を維持し、セキュリティパッチを適用し、重要なサービスのインターネットへの露出を制限することは、こうしたサイレント感染のリスクを軽減し、その影響を最小限に抑えるための重要なガイドラインです。

npm
関連記事
大規模なnpm攻撃:67個の悪意あるパッケージが高度なマルウェアを配布