Tag Archives: Java.Tomdep

Tomcat ??????????

      No Comments on Tomcat ??????????

シマンテックは、Apache Tomcat を実行しているサーバーを標的にする、新しいバックドア型のワームを確認しました。この脅威は、毎日のように発見される通常のワームとは若干毛色が異なります。

バックドア型のワームやトロイの木馬を使うと、攻撃者は侵入先のコンピュータ上でさまざまなコマンドを実行でき、実質的にコンピュータをリモートで制御できるようになります。つまり、ユーザーから重要な情報を盗み出すことも、そのコンピュータを利用して他のユーザーを攻撃することも可能だということです。

このタイプの攻撃は、デスクトップやラップトップなどの PC だけを標的にしていると思われがちですが、残念ながらそうではなく、サーバーも攻撃対象になります。サーバーは高性能なコンピュータであり、24 時間 365 日稼働しているため、むしろ標的としてはかなり貴重です。PHP.Backdoor.Trojan のように、PHP で記述されているバックドア型のトロイの木馬が一般的ですが、今回シマンテックが検出したバックドア型のワームは、Java サーブレットのように動作します。シマンテックは、これを Java.Tomdep と命名しました。
 

Tomdep 1.png

図 1. Java.Tomdep の拡散方法
 

この Java サーブレットは Apache Tomcat 上で実行されますが、Web ページは作成しません。代わりに IRC ボットのように機能し、IRC サーバーに接続して、攻撃者から送信されてきたコマンドを実行します。感染した Tomcat サーバーから Web ページにアクセスしたエンドユーザーは、この脅威の影響を受けません。感染したコンピュータは、ダウンロードやアップロード、新規プロセスの作成、SOCKS プロキシ、UDP フラッド、自身の更新といった標準的なコマンドだけでなく、他の Tomcat サーバーをスキャンして検索し、そこにマルウェアを送信することもできます。このことから、攻撃者の目的は、侵入先のサーバーから DDoS 攻撃を行うことにあるのかもしれません。

Java.Tomdep は、他の Tomcat サーバーを見つけると、以下のように弱いユーザー名とパスワードの組み合わせを使ってログインを試みます。
 

Tomdep 2 edit.png

図 2. Java.Tomdep がログインを試みるときに使うユーザー名とパスワード
 

次に、見つかった Tomcat サーバーに自身を配備します。
 

Tomdep 3 edit.png

図 3. 見つかった Tomcat サーバーに Java.Tomdep が自身を配備
 

攻撃者のコマンド & コントロール(C&C)サーバーは、台湾とルクセンブルクに置かれていることが判明しています。シマンテック製品をお使いのお客様からの感染報告は、限られた国や地域からのみ寄せられています。
 

Tomdep 4 edit.png

図 4. 感染報告のあった国や地域
 

これまでのところ、この脅威の被害を受けているコンピュータの数は多くありません。しかし、サーバーには PC と同じようなウイルス製品がインストールされていない場合もあるため、それが低い検出率の原因ではないことを祈るばかりです。

この脅威に感染しないように、サーバーとウイルス対策製品にはすべてのパッチを適用して、最新の状態に保つようにしてください。また、強力なパスワードを使うこと、そして管理ポートを一般アクセス用に開放しないことをお勧めします。

シマンテック製品は、今回の脅威を Java.Tomdep および Java.Tomdep!gen1 として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

All Your Tomcat Are Belong to Bad Guys?

      No Comments on All Your Tomcat Are Belong to Bad Guys?

Symantec has discovered a new back door worm-type threat which targets servers running Apache Tomcat. This threat is a little different from the ones we usually encounter every day.
Back door type Trojan horses and worms let attackers execute various c…