新たな形態のLinuxマルウェアが見つかる–検出は「ほぼ不可能」

今回は「新たな形態のLinuxマルウェアが見つかる–検出は「ほぼ不可能」」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　検出が「ほぼ不可能」という新たな形態のLinuxマルウェア「Symbiote」が、BlackBerryのResearch and Intelligence Teamの研究者らと、Intezerのセキュリティ研究者であるJoakim Kennedy氏によって発見されたという。カナダのBlackBerryが現地時間6月9日に発表した。

　それによると、このマルウェアは「寄生性」を有しているためSymbiote（共生者）と名付けられたという。

　これらの研究者らがSymbioteを発見したのは数カ月前のことだ。Symbioteは、実行中のプロセスに対して侵害を試みるという、Linuxで今日一般的に見られる通常のマルウェアとは異なり、LD_PRELOADを介することで、実行中のすべてのプロセスにロードされる共有オブジェクト（SO）ライブラリーとして動作する。

　研究者らによると、このSOライブラリーは標的となったマシンに「寄生」するかたちで侵害を試みるという。そしてシステムに食い込んだ後、同マルウェアは攻撃者にルートキットの機能を提供するという。

　Symbioteの最初のサンプルは2021年11月に検出されており、ラテンアメリカ地域の金融機関を標的として開発されたものと考えられている。しかし、Symbioteは新型で、回避性能も極めて高いマルウェアであるため、研究者らは標的型攻撃で使われているのか、あるいは広範な攻撃で使われているのかどうかすら確証が得られないとしている。

　Symbioteはいくつかの興味深い特徴を有している。一例を挙げると、このマルウェアは感染したマシン上での悪意あるトラフィックを隠蔽（いんぺい）するために、Berkeley Packet Filter（BPF）フッキングという機能を悪用している。なお、BPFはEquation Groupが開発したマルウェアでも悪用されている。

　BlackBerryの説明によると、「管理者が、感染したマシン上で何らかのパケットキャプチャーツールを起動すると、捕捉対象となるパケットを定義するBPFのバイトコードがカーネルに注入される。この処理において、Symbioteは自らのバイトコードを最初に追加するため、パケットキャプチャーツールに捕捉されたくないネットワークトラフィックを除去することが可能になる」という。

　このマルウェアが有する最も特徴的な要素の1つは、ステルス性だ。Symbioteは他の共有オブジェクトのロードに先立ってプリロードされ、libcやlibpcapを含む特定の関数をフックすることで自らの存在を隠蔽する。Symbioteに関連付けられている他のファイルも隠蔽され、そのネットワークエントリーも継続的に消去される。

　さらに、Symbioteはlibcのread関数をフックすることで認証情報を窃取でき、Linux Pluggable Authentication Module（PAM）のいくつかの関数をフックすることでリモートアクセスを可能にする。