Slapper スラッパー
『Linux.Slapper.Worm』,『Apache/mod_ssl』
Scalper.C ワームの Linux 版,DDoS 攻撃を目的として設計されたらしい。
2002年7月末に発見された OpenSSL のセキュリティーホールを利用して Linux サーバーに感染する。
感染したサーバー数は,2002年9月3日昼2000台,13日夕3500台,16日午前2時6700台以上,16日朝11,249台(いずれもアメリカ時間) .jp ドメインだけでも438ホスト。
感染すると,ワームの P2P ネットワークに組み込まれ,伝えられる命令に従う。
また,他の悪意のあるハッカーに対しても完全に無防備になる。
命令は,洪水のようにデータを送信する,ターゲットにコマンドを実行させる,特定の要求を別のコンピューターに送る,感染が判明しているサーバーに関する情報や電子メールアドレスを返送するの4種類。
14日にはこれによる DDoS 攻撃が報告されている。
ターゲットマシンのポート80に対し HTTP リクエストを送り,Apache を利用していることが判明すると,ポート443に接続して攻撃コードを送り込む。
攻撃コードは bugtraq.c という名前で UUEncode されている。
コードは解凍された後,gcc でコンパイルしその出力である .bugtraq を /tmp ディレクトリーに置く。
ワームはメールアドレスや IP アドレスを探し,それを手がかりに次々と感染を広げていく。
UDP ポート2002を空けて攻撃者の命令を待っている。
セキュリティー対策企業や取締当局はおとりに感染させることで,ネットワークの大部分の IP アドレスを収集することに成功。
対策は OpenSSL の 0.9.6d,0.9.7β1,またはそれ以前のバージョンを最新バージョンにアップグレードする。
これがインターネット上に出現する7週間前の段階で,システムにパッチを当てた管理者は約40%。ワームが広まり始めると,さらに25〜30%のシステムにパッチが当てられた。
残りは,いまだに脆弱なままらしい。
オリジナルは,感染サーバーが2万台に達したあたりで,システム管理者がパッチ処理と感染システムからのウイルス除去を始めたため,2002年10月7日には絶滅しかけている。
いくつものアンチウイルス会社が感染したマシンの担当者に電子メールで連絡し,グレーハットと呼ばれるハッカーたちが Slapper の P2P ネットワークを逆手にとって1台の感染サーバーから他の感染コンピューターに命令を送りシャットダウンさせている。
2002年10月7日までに,少なくとも4種類の変種が登場した。
多くはワームが P2P ネットワークに使用するポートだけを変更したもの。
Slapper.D,別名 DevNull
2002年10月1日発見。
Kaiten という有名なハッキングツールで,インターネットのチャット・チャンネル経由で感染サーバーとワーム作成者を通信させる。
Mighty マイティー
Slapper の5番目の変種で,Linux 上の Apache に存在する OpenSSL のセキュリティーホールを利用して感染する。
10月4日までに1600台以上に感染。
Slapper が残したソースコードを借用して,感染したコンピューター上で新たに自分自身をリコンパイルして,OpenSSL の全てのバージョンに対応する。
また,DDoS 攻撃を仕掛けるための P2P ネットワークを構築,バックドアを設定し IRC チャンネルの1つから遠隔接続し,不正なコマンドを実行可能にする。
それを通してコントロールされているらしく,機密情報の漏洩,重要データの破壊,DDoS 攻撃などを行う。
戻る ウイルス,最初のメニュー