ここから本文です

WordPressを狙うボットネット「Sathurbot」

5/17(水) 9:16配信

THE ZERO/ONE

2万のボットからなるボットネットがWordPressを使ったサイトを探っている。WordPressのサイトを感染させ、 Sathurbotというバックドアとダウンローダーの機能を持つトロイの木馬を可能な限り広い範囲に拡散しようとしているのだ。

多様な脅威「Sathurbot」

「Sathurbotは自身をアップデートし、他の実行ファイルをダウンロードして実行することができる。我々は、BoaxxeやKovter、Fleercivetの変種を観測したが、すべてを挙げる必要はないだろう」とESETの研究者は述べている。
SathurbotはWebクローラーでもあり、検索エンジンでターゲットを探し、そのサイトがWordPressで作成されたものかどうか(/wp-login.php が存在するか)を調べる。

ターゲットのリストがC&Cサーバーに送られると、ターゲットへのログインを試行するためにSathurbotボットネットが利用される。

「Sathurbotボットネットの各ボットは、1つのサイトに対して別のログイン情報を試す。ボットはそれぞれ、各サイトで一度だけログインを企て、他のサイトに移動する。これは、ボットのIPアドレスが標的サイトのブラックリストに載らないようにし、今後もそこに再訪できるようにするためのデザインだ」(ESETの研究者。以下同じ)

このように事を進めながら、このトロイの木馬は悪意あるtorrentのシーダーの役割も果たす。しかし全てのボットがこれを実行するわけではない。

Sathurbotの拡散方法

Sathurbotは少なくとも昨年、2016年6月頃から存在した。多くの場合、感染したページ(ほとんどがWordPress)で海賊版コンテンツ(映画やソフトウェア)らしきもののダウンロードさせようとユーザーを誘い、それらのtorrentファイルを提供することにより拡散する。

「何らかのtorrentクライアントを使ってダウンロードを始めると、そのファイルは広くシードされていて、正当なものに見える。映画をダウンロードしたら、その中身は動画の拡張子が付いたファイルと、コーデックパックのインストーラーに見えるファイルと解説ファイルだろう。ソフトウェアをダウンロードした場合は、インストーラーの実行ファイルに見えるものと小さなテキストファイルが入っている。どちらも、Sathurbot DLL をロードする実行ファイルを被害者に実行させるよう誘導するのが目的だ」

実行ファイルをダウンロードし実行すると、「ファイルにエラーがあります」というウィンドウが開く。しかしこれはただの目くらましで、裏ではマルウェアがインストールされ、C&Cサーバーに接続して指示を待つのだ。

1/2ページ

最終更新:5/17(水) 9:38
THE ZERO/ONE

Yahoo!ニュースからのお知らせ