Symbiote マルウエアの詳細:金融業界の Linux-Based システムに脅威をもたらす?

Symbiote Malware Poses Stealthy, Linux-Based Threat to Financial Industry

2022/06/11 DarkReading — ステルス性の高い Symbiote という Linux 上の脅威が、ラテン・アメリカの金融機関を標的としている。それにより、すべてのファイル/プロセス/ネットワークのアーティファクトがマルウェアにより隠され、ライブ・フォレンジックによる検出が事実上不可能な状態に陥っている。BlackBerry Research のブログ記事によると、このマルウェアは 2021年11月に露見している。Symbiote が、他の Linux マルウェアと異なる点は、単独で実行可能なファイルを使用して被害を与えるのではなく、実行中のプロセスに感染させるというアプローチにある。

そして、脅威となる人物にリモートアクセスを提供するために、認証情報の窃取と流出を行うだけではなく、それらをローカルに保存する。Intezer のセキュリティ研究者であり、BlackBerry にブログ記事を執筆した Joakim Kennedy は、「root キットとして動作し、そのマシン上に存在を隠す。いったんマシンに完全に感染すると、脅威アクターは見たいものだけを見ることができる。基本的に、マシンから得られる情報は、信用できないものになる」と述べている。

Figure 1: Symbiote evasion techniques (BlackBerry and Intezer)


しかし、DNS リクエストを経由して、盗み出した認証情報を流出させるため、外部から検出することは可能だと、彼は言う。Kennedy によると、このマルウェアが使用するドメイン名は、ブラジルの大手銀行を模倣しており、これも潜伏の助ける要素になっているようだ。彼は、「今回、発見された情報だけでは判断できないが、金融機関を狙う攻撃者は、金銭的な利益が動機となっていることが多い」と述べている。

共有オブジェクト・ライブラリ

Digital Shadows の Senior Cyber Threat Intelligence Analyst である Nicole Hoffman は、数多くのマルウェア亜種が実行ファイルを用いるのとは異なり、Symbiote はではなく共有オブジェクト・ライブラリであると指摘している。

Symbiote は、他の共有オブジェクト・ライブラリに先行して、アプリケーションによるプリロードが可能になるよう LD_PRELOAD 変数を使用する。Nicole Hoffman は「それは、マルウェアが正規の実行プロセスやアプリケーションに紛れ込むための、高度で回避的な技術であり、Symbiote が検出されにくい理由の1つだ」と述べている。

また、このマルウェアは、Berkeley Packet Filter (BPF) フッキング機能を備えている。通常のパケット・キャプチャ・ツールは、調査の目的でネットワーク。トラフィックを傍受/キャプチャするものである。BPF は、いくつかの Linux OS に組み込まれているツールであり、ユーザーが行う調査の種類に応じて、特定のパケットをフィルタリングすることで、ノイズを減らして分析を容易にするものである。

Hoffman は、「Symbiote マルウェアは、基本的にパケットキャプチャの結果から、そのトラフィックをフィルタリングするように設計されている。それは、攻撃者が自らの痕跡を隠し、レーダーをかいくぐるために使用する、ステルスの別のレイヤーにすぎない」と説明している。

Kennedy は、BPF フッキング機能が、このような形で動作すると確認されたのは、今回が初めてだ。他のマルウェアの亜種は通常、Commanf and Control サーバーからコマンドを受け取るために、BPF を使用している。このマルウェアは、ネットワーク・アクティビティを隠すために、この方法を使用している。つまり、感染させたマシンが調査される際に、発見を阻止するというマルウェアによる積極的な対策であり、足取りを隠すことで追跡を困難にするようだ」と述べている。

攻撃しやすくなる?

Vulcan Cyber の Senior Technical Engineer である Mike Parkin は、標的となっているラテン・アメリカでは、セキュリティ・インフラが成熟していないため攻撃しやすいという認識が、攻撃者側にあるのかもしれないと述べている。また、攻撃者は、感染させたシステム上で実行されている、各種の検知ツールなからマルウェアを隠すために、BPF の活用により通信トラフィックを隠蔽していると説明している。

彼は、「それはローカル・ホストでは有効ですが、他のネットワーク監視ツールでは、敵対的なトラフィックだと判断され、感染元の特定にいたる。また、被害者のシステムにおける変更を特定する、いくつかのエンド・ポイント・ツールが有効だ」とも説明している。

Mike Parkin は、「また、このマルウェアの動作を逆手にとって、存在を明らかにするためのフォレンジック技術もある。Symbiote を作成した人物は、自身のマルウェアを隠すために多大な労力を費やした。彼らは、多様な技術を組み合わせて活用したが、その結果として、防御者が容易に感染を特定するための、いくつかの危殆化の指標を提示することになった」とも述べている。

Kennedy は、Symbiote の攻撃について、また、類似する攻撃ついて、このマルウェアが使用する手法に着目し、それらを確実に検出/捕獲することが最も重要だと述べている。彼は、「Symbiote などを含む、最近になって発見された Linux マルウェアは、この種の OS が、高度に回避的なマルウェアと無縁ではないことを示している。Windows マルウェアと比較して注目度が低いため、いまだに潜伏し続けているマルウェアがあるのかもしれない」と述べている。

Symbiote に関する第二弾の記事であり、第一弾と同様に、ソースは Blackberry Research のブログです。ただし、こちらの記事では Berkeley Packet Filter (BPF) フッキング機能について言及しています。5月21日の「BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細」では、「このマルウェアは、ポートを開く必要がなく、ファイアウォールで止めることもできず、Web 上のあらゆる IP アドレスからのコマンドに応答できるため、企業スパイなどの継続的な攻撃にとって最適なツールとなっている」と述べられています。また、5月25日の「BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う」では、「BPFDoor はカスタム・バックドアであり、少なくとも5年間において、通信/政府/教育/物流などの組織への攻撃で、ほとんど検出されずに使用されてきた」と解説されています。これらの情報も、Symbiote の高スティルス性を裏付けているようです。

%d bloggers like this: