バックドア

Backdoor 攻撃手法

正規認証を経ずにシステムへ侵入できる隠し経路。マルウェアが設置することが多い。

概要

バックドアは、本来の認証や認可を迂回してシステムへ侵入できる「隠し経路」です。Webサーバーへの初期侵入(Webshell設置・ブルートフォース突破等)に成功した攻撃者は、再侵入を容易にするためにバックドアを仕込みます。一度設置されると、表面的な脆弱性を修正してもアクセスし続けられます。

典型的な実装として、(1) PHPファイルへの不可視なevalコード追加、(2) WordPressのfunctions.phpやプラグインへの改ざんコード挿入、(3) cronジョブによる定期的な再ダウンロード、(4) SSHのauthorized_keysへの不正な公開鍵追記、(5) 隠しユーザーアカウント作成、があります。

対策は (1) ファイル完全性監視(設置・改ざん検知)、(2) cron・systemdユニット・authorized_keysの定期確認、(3) プロセスツリーの監視、(4) 出口通信(C2サーバーへの接続)の監視、を組み合わせる多層的なアプローチが必要です。

Scanrollはこう守る

Scanrollは、Webサーバー内のファイルを定期スキャンしてeval系の難読化コードや既知のバックドアパターンを検出します。さらに不審なプロセス(認証情報を持たないプロセスがWebアクセスを発生させている等)、cronジョブの不自然な追加、authorized_keysの変更も監視対象としています。