BPFDoorは、バックドア型マルウェアです。
この活動は新しいものではなく、ずっと以前から観測されています。
以前にも話題になったことがありました。
当時の複雑な部分はほぼそのままに、さらに複雑な内容へと変貌してきていることが確認されています。
いくつか特徴を見てみましょう。
- BPFの悪用
この要素は以前から継続です。
Berkley Packet Filterの実装を悪用し、トラフィックキャプチャツールなどのように通常のアプリケーションとは異なる層でネットワークパケットを検査できるフィルターを読み込みます。
BPFDoorによってロードされるフィルターは、「マジックシーケンス」を含むネットワークパケットによってマルウェアを起動することができるようにします。
マジックシーケンスとは、脅威アクターによって定義された一連のバイトシーケンスであり、感染したマシン上のバックドアに特定のアクションを実行するよう指示するものです。 - BPFDoor controllerの追加
現在のBPFDoorにはcontrollerというソフトウェア要素が追加されています。
このBPFDoor controllerは、BPFDoorを利用する際の脅威アクターの手元側で動作するツールです。
BPFDoor controllerを使って侵害先にあるBPFDoorを利用するのですが、接続先の操作を実施できるようにするにはこのcontrollerに対し、適切なパスワードを指定する必要があります。
利用が可能な状態となると、controllerは脅威アクターにリバースシェルの操作環境を提供します。 - TCPだけでなくUDPもICMPも利用
現在のBPFDoorの実施するリバースシェルは、通信の足回りの自由度が上がってしまっています。
controllerからの指示で開始されるリバースシェルは、TCPを使ったセッションの開始だけでなく、UDPでもICMPでも可能となっています。
侵害する環境によって通信の制約は異なりますが、ここまでの自由度があれば、これまで以上にいろいろな侵害先で動作させることができるようになってしまいます。
しかも、protocolを変更して別のセッションを新たに開始することもできますので、特定のポートの通信が増加したかどうかなどの方向性による監視は、これまでのように効果を発揮できるかわかりません。 - リバースじゃないシェル接続も可能
現在のBPFDoorは、リバースシェルだけでなく、順方向のシェル接続の機能も搭載しています。
BPFDoorは外部から対象組織に接続する部分で利用されますが、侵入後の対象ネットワーク内で横移動する際にも利用されます。
このような状況においては、このリバースでないシェル接続が効果を発揮する場面も出てきます。
ちなみに現在のBPFDoorでは、このリバースじゃないシェル接続はTCP用だけが実装されています。
BPFDoorはジャンルとしてはバックドア型マルウェアです。
しかしその実装の作戦の効果として、rootkit的な効能も備わったものとなっています。
ポートスキャンなどの一般的なセキュリティスキャンでは異常検出は容易ではありません。
また、プロセス名の変更やポートをリッスンしないといった回避手法も備えていますので、システム管理者がサーバの異常を疑うことは困難です。
BPFDoorの現在確認されているターゲットはLinuxのシステムです。
しかしこのマルウェアが悪用するBPF機構は、Linux向けだけではありません。
Solaris向けにもWindows向けにもBPFの実装は存在します。
この種のマルウェアがあるということを把握したうえで、継続的な注意が必要ですね。
BPFDoor’s Hidden Controller Used Against Asia, Middle East Targets
https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.html
| この記事をシェア |
|
|---|
