Symbiote という新型 Linux マルウェア:巧妙なカモフラージュにより検出が不可能?

New Linux Malware ‘Nearly Impossible to Detect’

2022/06/11 DarkReading — Linux システムを攻撃する新型マルウェアが、認証情報を盗み出し、カモフラージュしながら被害者のマシンにリモート・アクセスしている。このマルウェアを研究している専門家たちは、それが標的型や大規模型の攻撃キャンペーンで使用されているのかどうか、結論づけられないと述べている。

Intezer と BlackBerry Research & Intelligence Team のセキュリティ研究者たちによると、いわゆる Symbiote マルウェアは、純粋な実行ファイルではない点で異例であるが、実際には Linux の LD_Preload ファイルを使って、マシンの実行プロセスに自身をロードする共有オブジェクト・ライブラリであるという。

Symbiote: A New, Nearly-Impossible-to-Detect Linux Threat (Blackberry and Intezer)


今週のブログで研究者たちは、「すべての実行中のプロセスにいったん感染すると、ルートキット機能/認証情報の取得機能/リモート・アクセス機能などが脅威アクターに提供される」と述べている。

研究者たちによると、Symbiote は2021年11月に初めて目撃されたが、その当時はラテンアメリカの金融機関を攻撃するために作成されたようだ。

研究者たちは、「このマルウェアがマシンに感染すると、マルウェア自身と脅威アクターが使用する他のマルウェアを隠し、感染を非常に検出しづらくする。感染したマシンでライブ・フォレンジックを実行しても、ファイル/プロセス/ネットワークのアーティファクトが、すべてマルウェアにより隠されているため、何も発見できない可能性がある」と述べている。

彼らは、「このマルウェアは、ルートキット機能を提供する。それに加えて、脅威アクターがハードコードされたパスワードを使って。マシン上の任意のユーザーとしてログインし、最高権限のコマンドを実行するためのバックドアも提供している。組織は異常な DNS リクエストに注意する必要があるが、アンチ・ウイルス・ツールやエンドポイント検出/対応ツールに頼って検出することは無意味である。ルートキットは “ユーザー・ランド” に埋め込まれているため、これらのツールにより侵害される可能性がある」と警告している。

この記事のキーワードである LD_Preload を検索してみたら、qiita に解説がありました。具体的には、1:LD_PRELOADは環境変数でパスを指定するだけで好きな関数をラップ出来る。2:再コンパイルの必要がないので既存動作しているプログラムにも適用される、というふうに要点がまとめられています。そして凄い機能だと感心していたが、dlsymという機能と組み合わせて悪用すれば、恐ろしいハック道具にもなると結論づけています。

%d bloggers like this: