Webサーバへの暗号通貨マイニング(クリプトジャッキング)攻撃のログ

 自宅サーバのログ監視の警告通知で、暗号通貨のマイニング関係のログが出てたので、AI(LLM)に解析してもらった。これは攻撃では無く誤送の可能性もあるようです。リソースへの影響は無かったので、放置します。

ログの内容は以下です。

"{\"method\":\"login\",\"params\":{\"login\":\"45JymPWP1DeQxxMZNJv9w2bTQ2WJDAmw18wUSryDQa3RPrympJPoUSVcFEDv3bhiMJGWaCD4a3KrFCorJHCMqXJUKApSKDV\",\"pass\":\"xxoo\",\"agent\":\"xmr-stak-cpu/1.3.0-1.5.0\"},\"id\":1}\n" 400 4076 "-" "-"
"{\"id\":1,\"method\":\"mining.subscribe\",\"params\":[]}\n" 400 4076 "-" "-"
"{\"params\": [\"miner1\", \"password\"], \"id\": 2, \"method\": \"mining.authorize\"}\n" 400 4076 "-" "-"
"{\"id\":1,\"jsonrpc\":\"2.0\",\"method\":\"login\",\"params\":{\"login\":\"blue1\",\"pass\":\"x\",\"agent\":\"Windows NT 6.1; Win64; x64\"}}\n" 400 4076 "-" "-"
"{\"params\": [\"miner1\", \"bf\", \"00000001\", \"504e86ed\", \"b2957c02\"], \"id\": 4, \"method\": \"mining.submit\"}\n" 400 4076 "-" "-"
"{\"id\":1,\"jsonrpc\":\"2.0\",\"method\":\"login\",\"params\":{\"login\":\"x\",\"pass\":\"null\",\"agent\":\"XMRig/5.13.1\",\"algo\":[\"cn/1\",\"cn/2\",\"cn/r\",\"cn/fast\",\"cn/half\",\"cn/xao\",\"cn/rto\",\"cn/rwz\",\"cn/zls\",\"cn/double\",\"rx/0\",\"rx/wow\",\"rx/loki\",\"rx/arq\",\"rx/sfx\",\"rx/keva\"]}}\n" 400 4076 "-" "-"

AI(LLM)の解析は以下です。

攻撃の識別と分析

このログに記録されている通信は暗号通貨マイニング(クリプトジャッキング)攻撃の試行です。すべてのリクエストはJSON-RPC形式のStratum mining protocolを使用しており、攻撃者がWebサーバーを暗号通貨マイニングプールまたはマイニングプロキシとして不正利用しようとしていることを示しています。

攻撃の成功・失敗状況

攻撃は失敗しています。 すべてのリクエストに対してHTTP 400 Bad Requestが返されており、これはWebサーバーがこれらのマイニングプロトコルのリクエストを理解できず、適切に処理できなかったことを意味します。

攻撃内容の詳細分析

1. XMRig/XMR-stak系マイニングソフトウェアによる攻撃

以下の2つの攻撃は同様のMonero(XMR)マイニング攻撃です:

  • 攻撃1xmr-stak-cpu/1.3.0-1.5.0エージェントを使用したログイン試行
  • 攻撃6XMRig/5.13.1エージェントを使用したログイン試行

これらはAkamai社の最新研究で詳しく分析されているように、Moneroマイニングに特化した正規のオープンソースソフトウェアですが、攻撃者によって悪用されています。

2. 標準Stratumプロトコルによる攻撃

以下の3つの攻撃は標準的なマイニングプロトコルメソッドを使用:

  • 攻撃2mining.subscribeメソッド – マイニングプールへの接続要求
  • 攻撃3mining.authorizeメソッド – ワーカー認証試行
  • 攻撃5mining.submitメソッド – マイニング結果提出試行

3. 偽装されたWindows環境からの攻撃

  • 攻撃4Windows NT 6.1; Win64; x64をエージェントとして偽装したログイン試行

CVE情報とスコア

暗号通貨マイニング攻撃は特定の脆弱性を悪用するものではなく、設定ミスや不正アクセスによる不正利用が主な手法です。そのため、直接関連する特定のCVE番号はありません。

ただし、関連する脆弱性として以下があります:

  • CVE-2023-22527 (CVSS: 8.5-9.1) – Atlassian Confluence脆弱性を悪用したクリプトジャッキング攻撃
  • CVE-2021-26084 (CVSS: 9.8) – Confluence脆弱性を悪用したXMRigマイニング攻撃

セキュリティ影響評価

この攻撃は失敗していますが、以下のリスクがあります:

  1. リソース消費: 成功した場合、サーバーのCPU/GPU資源が盗用される
  2. 電力コスト研究によると、攻撃者が1ドル利益を得るごとに被害者は約53ドルの損失を被る
  3. 継続的攻撃: 攻撃者は異なる手法での再攻撃を試みる可能性

推奨対策

  1. ファイアウォール設定: マイニングプロトコル(Stratum)のトラフィックをブロック
  2. ログ監視: JSON-RPCマイニングリクエストの継続監視
  3. セキュリティ強化: 不正アクセス防止の追加対策実装

この解析結果は、サーバーが適切に設定されており攻撃を阻止できていることを示していますが、継続的な監視と対策が重要です。

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA