Syslogk という Linux rootkit は危険:驚異的なスティルス性でバックドアを自在に制御

New Syslogk Linux rootkit uses magic packets to trigger backdoor

2022/06/13 BleepingComputer — Syslogk という名の新たな Linux rootkit マルウェアは、悪意のあるプロセスを隠すために使用されており、特別に細工された magic packets を用いて、デバイス上で眠っているバックドアを目覚めさせる。現時点において、このマルウェアは活発に開発が進められている。その作者は、古いオープンソースの rootkit である Adore-Ng をベースに、プロジェクトを進めているようだ。

Syslogk は自身のモジュールを、Linux カーネル (Ver 3.x をサポート) に強制的にロードし、ディレクトリやネットワーク・トラフィックを隠し、Rekoobe と呼ばれるバックドアを最終的にロードする。

magic packets 用いてバックドアをロード

一般的な Linux rootkit は、OS にカーネル・モジュールとしてインストールされるマルウェアである。それらは、インストール後に、正規の Linux コマンドを傍受し、ファイル/フォルダー/プロセスの存在といった、表示したくない情報をフィルタリングする。

同様に、Syslogk は、カーネル・モジュールとして最初にロードされたとき、手動での検出を回避するために、インストールされたモジュールのリストから、そのエントリを削除する。その存在を示す唯一のサインは、/proc ファイル・システムで公開されるインターフェースとなる。

proc list
Exposed Syslogk interface (Avast)

ルートキットの追加機能により、ホストにドロップする悪質なファイルを含むディレクトリの隠蔽、プロセスの隠蔽、ネットワークトラフィックの隠蔽、すべてのTCPパケットの検査、ペイロードのリモートでの起動・停止が可能になる。この rootkit の追加機能により、ホストにドロップする悪意のあるファイルを含むディレクトリ/プロセス/ネットワーク・トラフィックを非表示にし、すべての TCP パケットを検査し、ペイロードの開始/停止をリモートか操作できるようになる。

Avast が発見した、隠されたペイロードの 1つは、Rekoobe という名の Linux バックドアである。このバックドアは、脅威アクターからの magic packets を rootkit 受信するまで、感染したマシン上で休眠状態になる。スリープ状態にあるデバイスを起動する Wake on LAN magic packets と同様に、Syslogk は特殊な構造の TCP パケットに注目する。そこに含まれるのは、特別な “Reserved” フィールド値、および、”Source Port” 番号付け、 “Destination Port” と “Source Address” の一致、ハードコードされたキーなどである。

適切な magic packets が検出されると、Syslogk はリモートからの脅威アクターの指示に従い、バックドアを開始または停止し、検出の可能性を大幅に減らす。偽の SMTP サーバーと組み合わせて使用すると、Syslogk rootkit と Rekoobe ペイロードは、完全に一致することが確認された。

Avast は、「このスティルス性について考えてほしい。いくつかの magic packets がマシンに送信されるまで、ロードされないバックドアがある。照会されると、正当なサービスのように見えるが、メモリに隠れ、ディスクに隠れ、ネットワークに隠れてリモートから魔法のように実行される。ネットワーク・ポートのスキャンで発見されたとしても、正規の SMTP サーバーのように見える」と述べている。

Rekoobe は、カーネルモードの Syslogk と比べて検出は複雑ではない。また、user-mode スペースにロードされるため、ロードに注意を払わう必要があるはずだ。Rekoobe は、広く利用可能なオープンソース・ソフトウェアである、TinySHell をベースにしている。その目的は、侵入したマシン上のリモートシェルを、攻撃者に提供することだ。

Spawning a root shell on the host
Spawning a root shell on the host (Avast)

つまり、Rekoobe はコマンド実行に使用されるため、情報漏洩/データ流出/ファイル操作/アカウント乗っ取りなどの影響は、最大のレベルに達するのだ。

心配する必要はないのか?

Syslogk rootkit は、最近になって発見された Symbiote と BPFDoor に追加された、Linux システム向けの極めて侵食性の高いマルウェアの例であり、どちらも BPF システムを介してネットワーク・トラフィックを監視し、それを動的に操作するものである。

Linux システムは、一般的なユーザーには普及していないが、最も価値のある企業ネットワークの一部を支えているため、このアーキテクチャ向けのカスタム・マルウェアを開発するために、脅威アクターたちは時間と労力を費やしている。

Syslogk の場合、プロジェクトは初期の開発段階にあるため、現時点では脅威として広まるかどうかは不明であるす。しかし、そのステルス性を考慮すると、新しいバージョンや、改良されたバージョンをプッシュし続ける可能性が高い。最も危険な展開は、最新の Linux カーネル・バージョンを、Syslogk がサポートすることで、ターゲットの範囲を一挙に広がるケースである。

先日の BPFDoorSymbiote に加えて、またも Linux ターゲットのバックドアが登場したという話です。どれをみても、隠れ方が巧妙で、静かに潜伏しながら、必要なときに magic packet で目覚めて、必要なものをダウンロードするという、とても厄介な構造を持つようです。

%d bloggers like this: