新たな形態のLinuxマルウェアが見つかる–検出は「ほぼ不可能」

今回は「新たな形態のLinuxマルウェアが見つかる–検出は「ほぼ不可能」」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 検出が「ほぼ不可能」という新たな形態のLinuxマルウェア「Symbiote」が、BlackBerryのResearch and Intelligence Teamの研究者らと、Intezerのセキュリティ研究者であるJoakim Kennedy氏によって発見されたという。カナダのBlackBerryが現地時間6月9日に発表した。

 それによると、このマルウェアは「寄生性」を有しているためSymbiote(共生者)と名付けられたという。

 これらの研究者らがSymbioteを発見したのは数カ月前のことだ。Symbioteは、実行中のプロセスに対して侵害を試みるという、Linuxで今日一般的に見られる通常のマルウェアとは異なり、LD_PRELOADを介することで、実行中のすべてのプロセスにロードされる共有オブジェクト(SO)ライブラリーとして動作する。

 研究者らによると、このSOライブラリーは標的となったマシンに「寄生」するかたちで侵害を試みるという。そしてシステムに食い込んだ後、同マルウェアは攻撃者にルートキットの機能を提供するという。

 Symbioteの最初のサンプルは2021年11月に検出されており、ラテンアメリカ地域の金融機関を標的として開発されたものと考えられている。しかし、Symbioteは新型で、回避性能も極めて高いマルウェアであるため、研究者らは標的型攻撃で使われているのか、あるいは広範な攻撃で使われているのかどうかすら確証が得られないとしている。

 Symbioteはいくつかの興味深い特徴を有している。一例を挙げると、このマルウェアは感染したマシン上での悪意あるトラフィックを隠蔽(いんぺい)するために、Berkeley Packet Filter(BPF)フッキングという機能を悪用している。なお、BPFはEquation Groupが開発したマルウェアでも悪用されている。

 BlackBerryの説明によると、「管理者が、感染したマシン上で何らかのパケットキャプチャーツールを起動すると、捕捉対象となるパケットを定義するBPFのバイトコードがカーネルに注入される。この処理において、Symbioteは自らのバイトコードを最初に追加するため、パケットキャプチャーツールに捕捉されたくないネットワークトラフィックを除去することが可能になる」という。

 このマルウェアが有する最も特徴的な要素の1つは、ステルス性だ。Symbioteは他の共有オブジェクトのロードに先立ってプリロードされ、libcやlibpcapを含む特定の関数をフックすることで自らの存在を隠蔽する。Symbioteに関連付けられている他のファイルも隠蔽され、そのネットワークエントリーも継続的に消去される。

 さらに、Symbioteはlibcのread関数をフックすることで認証情報を窃取でき、Linux Pluggable Authentication Module(PAM)のいくつかの関数をフックすることでリモートアクセスを可能にする。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
トヨタ子会社、Lyftの自動運転車部門を5.5億ドルで買収
企業・業界動向
2021-04-28 16:34
仮想通貨やオンラインアカウントを保護–金融資産を狙うサイバー攻撃への対策
IT関連
2022-02-15 14:59
Netflix、スピルバーグ監督のAmblinと複数映画製作で契約
アプリ・Web
2021-06-23 11:59
Google、初オリジナルモバイルSoC「Google Tensor」発表 「Pixel 6」に搭載
製品動向
2021-08-04 13:50
「VRコンベンションセンター」博報堂DYなど開設 3D空間で展示会やセミナー開催 ブラウザから参加
企業・業界動向
2021-02-17 09:20
ローソン、食品の値引き額をAIで算出 まずは東北で、2023年度までに全店展開
ロボット・AI
2021-06-24 05:25
QRコード決済、「利用している」は約3割 現金派に及ばず MMD調査
企業・業界動向
2021-01-21 02:50
ネクストミーツが長岡技術科学大学と提携、マメ科植物を材料に代替⾁に適性のある原料の研究開発
バイオテック
2021-06-08 09:26
狙われる重要インフラ、欧州などで活発な10の脅威グループ
IT関連
2022-04-15 06:38
グーグル、インドの通信大手Bharti Airtelに最大10億ドル投資へ
IT関連
2022-02-01 02:28
庵野秀明と松本人志の初対談、アマプラで配信 初対面で「どうなるんでしょうね」「すぐに滞ると……」
くらテク
2021-08-21 17:14
選手へのネット中傷、JOCが監視チーム すでに記録保存
連載チーム
2021-08-21 19:52
1枚のイラストが10秒でVTuber用2Dモデルに、PFNのAI活用 ライブ配信アプリ「IRIAM」に新機能
ロボット・AI
2021-06-22 08:55
NASA、エウロパ探査はSpaceXの「Falcon Heavy」で
企業・業界動向
2021-07-27 03:13