ウイルスチェッカーが調べない「cron」に潜むマルウェア再感染の手口に注意

Sucuriは2月21日(米国時間)、「Attackers Abuse Cron Jobs to Reinfect Websites」において、サイバー攻撃者がcronを悪用してマルウェアの再感染やWebシェルの永続化を行っていると伝えた。サイバー犯罪者がcronを悪用することは今に始まったことではないが、最近この手法に新しい波が来ていることや、そもそもcronを知らないことで駆除の対象から漏れているケースがあることなどを受け、注意を喚起している。

Linuxなどのサーバではcronでタスクスケジュールを行っている。バックアップやソフトウェアの更新、レポートの生成、メールの自動送信、ログの管理など、さまざまな業務がcronでスケジュール化され自動的に処理されている。Linuxサーバを利用する上で欠かすことのできない機能だ。

この便利な機能は管理者だけではなく、サイバー攻撃者も悪用している。これまで最も多く見られたケースはマルウェアの再感染にcronを悪用するというものだ。定期的にマルウェアに感染するようにcronに処理を仕込んでおくことで、仮に管理者が感染後のマルウェアを駆除したとしても、定期的にマルウェアに再感染する状況を設定する。これでサイバー攻撃者は永続的にサーバを悪用することができるようになる。

Sucuriはこうしたcronを悪用するタイプの手法において、観測された新しい兆候として次の内容を取り上げている。

定期的にバックドアに再感染させる。しかも以前このバックドアはJPEG画像ファイルの中に隠蔽されていたものであり、新しい隠れ蓑としてcronを悪用するようになった
cronにエンコードされたWebシェルを仕込んでおき、定期的にWebシェルが復帰するように仕込まれている
日本のスパムやギャンブルスパムでは、悪意あるファイルや脆弱性がすべて修正された場合も、再度アクセスを確保できるようにcronが悪用されることが多い
サイバー攻撃者はこうしたcronを悪用する方法を日常的に使用している

Sucuriは多くのユーザーがcronについて知らないこと、そしてファイルスキャンもデータベーススキャンもcronの内容はチェックしないことを指摘して注意を呼びかけている。SSHアクセスがある場合、登録されているスケジュールは「crontab -l」で一覧表示することができるとしており、内容を確認することを推奨している。