- SKT侵害事故への対応中、Linuxシステムを狙ったBPFDoor系統の既存マルウェア4種に加え、亜種マルウェア8種を発見
- 痕跡が残らない持続的侵入用バックドアであるため、さらに多くの情報が流出している可能性がある
- 1次で知られていた**
smartadmのほか、dbus-srv、inode262394、rad**などが追加で確認され、システムプロセス偽装、ルートキット、バックドア設置などの機能を持つ
マルウェア関連情報(亜種のためハッシュ値では確認できず、名前から特定した推定機能情報)
○ dbus-srv
- システムプロセスである
dbus-daemonを偽装して実行される
- システム情報収集およびリモートコマンド実行機能を持つ
- 暗号化および難読化によって検知を回避する
- バックドアとみられ、外部C2(Command-and-Control)サーバーとの通信が可能
○ inode262394
- ファイルシステムのinode構造を偽装して潜伏する
- ルートキット機能により自身の存在を隠蔽し、システムコールのフックなどを行う
- システム権限昇格および継続的なアクセス権限の確保を試みる
- BPFDoorは長期潜伏型Linuxバックドアマルウェアで、Berkeley Packet Filter (BPF) を用いたパッシブなネットワーク監視により、ポートを開かずにネットワークトラフィックを監視する高度な秘匿性を持つ攻撃ツール
- BPFの特性によりファイアウォールを迂回し、ネットワークトラフィックを密かに盗聴できる
- システムプロセス偽装のため
/usr/libexec/postfix/master などのパスで実行され、プロセス一覧では一般的なサービスのように見せかける
- その大半がメモリ上で動作し、ディスクに痕跡を残さないため、フォレンジック分析の回避にも有利
- 2023年に登場した強力な亜種には、次のような主な特徴がある
- 暗号化方式: 既存のRC4 → libtomcrypt静的ライブラリベースの暗号化
- 通信方式: 既存のBind Shell → Reverse Shellで子プロセスが逆方向接続を確立
- コマンド処理: 従来はハードコードされたコマンド → すべてのコマンドをリアルタイムで受信
- ファイル名: 従来は固定 → 現在は動的に生成
- 検知後も子プロセスと親プロセスを分離して検知対応を回避
- GitHubでソースコードが公開されている
1件のコメント
やはり全部やられていた可能性が……