Linux のエミュレート環境が標的:“CRON#TRAP” キャンペーンの巧妙な検出回避術とは?

New “CRON#TRAP” Campaign Exploits Emulated Linux Environments to Evade Detection

2024/11/06 SecurityOnline — Securonix 脅威調査チームが検出したのは、”CRON#TRAP” と呼ばれる高度なマルウェア・キャンペーンの存在である。このキャンペーンは、軽量のエミュレートされた Linux 環境内で攻撃を仕掛けるものである。人気のオープンソース仮想化ソフトウェア QEMU などの、正規のツールを悪用する攻撃者は、セキュリティ対策を回避し、正規のソフトウェアを使用しているように見せかけ、悪意のアクティビティの存在を隠し続ける。

Securonix のレポートには、「このキャンペーンは、”OneAmerica Survey.zip” というタイトルの 285 MB の巨大な ZIP ファイルを用いる、フィッシング攻撃から始まる。このファイルの解凍イメージには、悪意のショートカットが取り込まれており、それを実行すると、QEMU でエミュレートされた軽量のカスタム Linux 環境が起動する。エミュレートされた Linux インスタンスは、ウイルス対策による検出を回避するように設計されており、攻撃者が制御する C2 サーバへの接続を確立する、バックドアが事前にコンフィグレーションされている。この設定により、被害者のマシン上で、攻撃者はステルス状態を維持できる」と記されている。

通常においてに、テストや開発に使用される QEMU は、暗号通貨マイニング以外において、マルウェアと関連付けられたことはなかった。しかし、CRON#TRAP キャンペーンでは、カスタマイズされたバージョンの Tiny Core Linux を実行する、小型 Linux インスタンスを作成するために悪用されている。このアプローチにより、攻撃者は存在を隠すことが可能となる。

このレポートは、「QEMU は開発や研究で多用される正規のソフトウェアであるため、その存在により、セキュリティ・アラームがトリガーされることは、通常ではあり得ない」と指摘している。

この悪意の環境は、単なる受動的なツールではなく、さまざまな機能を備えている。攻撃者は、QEMU の名前を “fontdiag.exe” に変更して、その活動を隠蔽している。この悪意の環境が起動すると、”crondx” と呼ばれるバックドア (カスタマイズされた Chisel クライアント) がリモート C2 サーバに接続し、さらにデータを抜き出し、コマンドを実行するための安全なトンネルを確立する。

エミュレートされた Linux システムは、永続的で多用途なバックドアを提供する。攻撃者は、”get-host-shell” や “get-host-user” といったカスタム・コマンド・エイリアスも作成しており、エミュレートされた環境からホスト・マシンへのダイレクトな対話を実現する。つまり、これらのエイリアスにより、攻撃者は被害者のシステムへのアクセスを確立し、ホスト・マシン上に対話型シェルを生成して、横方向への移動やデータ流出の可能性を手にする。

Securonix の研究者たちは、「攻撃者の .ash_history ファイルに記録された、一連のアクションを特定し、系統的なセットアップ・プロセスを明らかにした。ログ・ファイルに、その構造が明示されている。最初に、攻撃者はネットワーク接続をテストし、SSH キーをインストールし、再起動に対する耐性を確保するために環境を調整する。起動スクリプトの変更やリモート・アクセス用の SSH の使用が証明するように、このセットアップが示唆するのは、標的マシン上での確実な存在に、攻撃者が注力していたことだ」と指摘している。

“crondx” バックドアは、データを秘密裏に、ファイアウォールを通過させる機能で人気を博している、Chisel トンネリング・ツールを活用している。Chisel に関しては、”HTTP 経由で転送され、SSH で保護された高速 TCP/UDP トンネル” と説明されている。それを利用する攻撃者は、ネットワーク監視ツールに検出されることなく、エミュレートされた Linux 環境に出入りするトラフィックを管理できる。接続パラメータを、ダイレクトにバイナリ・ハードコーディングすることで、攻撃者は外部コンフィグ必要性を回避し、デジタル・フットプリントを減らし、検出をはるかに困難にする。

この攻撃者は、ターゲットシステム内に隔離された仮想環境を作成することで、従来の検出方法を回避し、ウイルス対策などのセキュリティツールを無効化する。Securonix チームは、「このエミュレートされた Linux 環境により、従来からのウイルス対策ソリューションの可視性外で、攻撃者は活動できるようになる」と結論付けている。

QEMU などの正規の仮想化 ツールを悪用する攻撃者が、”CRON#TRAP” という高度なマルウェア・キャンペーンを展開しているようです。こうした攻撃手法は、LOLBin (Living off the Land Binary) と名付けられ、各種の防御ツールによる検出を回避していきます。よろしければ、カテゴリ LOLBin を、ご参照ください。