Linux環境で動作するマルウェア DreamBot

数でみるとLinuxで動くマルウェアはWindows環境のそれに比べると多くないかもしれません。
が、そんなLinuxで動くマルウェアのなかにも、やばいものがあるようです。

DreamBotというものが観測されています。
これは基本的には暗号通貨マイナーなのですが、最近よくあるモジュール式の構造になっています。
で、TORなどを介してhttpでC&Cと通信し、各種モジュールを更新していく動作をします。

横展開の機能も豊富なようです。
参照記事の公開時点で、Zscaler ThreatLabZは、SSH、PostgreSQL、Redis、Hadoop YARN、Apache
Spark、HashiCorp Consul、およびSaltStackを介して拡散するように設計されたモジュールを観察しました。

また、このマルウェアは自身のコードを難読化したりUPXパックされたりしているのですが、そのUPXパックのUPXバイトを書き換えた状態で配布されたりするようです。
これによってそのパックされたELFバイナリが動作しなくなるようなことはないらしいのですが、こういったファイルであるためアンチウイルス製品での検出が難しくなっているようです。

C&Cとの通信に使う名前解決でも手抜かりはありません。
DNS over HTTPで名前解決するのです。

ここに記載したものは、このDreamBotの一部の機能でしかありません。
機能は盛りだくさんですし、設計はモダンです。
Windows環境のマルウェアはその場にあるものを使って活動するようになってきていますが、Linux環境のマルウェアも同じ進化の道をたどっているようです。

興味がある方は下記の記事を見てみてください。
まず最初にその記事の多さ(スクロールバーの短さ)に驚くでしょう。
そして次にそのやばい内容に驚くことになるかもしれません。

参考記事(外部リンク):DreamBus Botnet – Technical Analysis
www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。