アカマイの注意喚起

アカマイテクノロジーズは9月30日、Linuxシステムに感染する「XOR DDoS」のボットネットによるDDoS（分散型サービス妨害）攻撃が激化しているとして注意を呼び掛けた。ボット感染の確認や駆除をユーザーにアドバイスしている。

XOR DDoSは、遠隔操作型のトロイの木馬で、Linuxシステムに感染する。攻撃者は総当たりで感染先のシステムを探し、まずSSHサービスのパスワードを盗んでシステムへのログインを試みる。ログインに成功すると、root権限でBashシェルスクリプトを実行してシステムにマルウェアを感染させ、遠隔操作で標的にDDoS攻撃を仕掛ける。

アカマイによると、ボットネットはこの1年ほどで威力を増し、現在では1日あたり最大20回に達し、トラフィックのピークは150Gbpsを超える。被害の90％がアジア地域に集中しており、主な標的はゲーム企業だという。8月下旬に観測された攻撃では約179Gbpsを記録し、攻撃手法ではSYNフラッドやDNSフラッドが使われている。

同社ではDDoS攻撃の軽減策としてイニシャルTTL値やTCPウィンドウサイズ、TCPヘッダオプションによるシグネチャが有効だと解説。また、攻撃者のコマンド＆コントロール（C2）サーバとマルウェア間の通信や同社が提供するYARAルールを用いてマルウェアを検出できるという。

ただXOR DDoSマルウェアの削除は難しく、いったん削除しても再感染させる機能を持つため、以下の4つの手順で対応する必要があるとしている。

2つのディレクトリ内の悪意あるファイルを特定する メインプロセスの持続を促進しているプロセスを特定する 悪意あるプロセスを終了（Kill）する 悪意あるファイルを削除する

Copyright © ITmedia, Inc. All Rights Reserved.