ポート待ち受けしないMystRodX

MystRodXは、新しく確認されているバックドア型マルウェアです。
バックドアなのですが、外部からの通信を自分自身で待ち受けする形式ではないモードを持っています。
どんな機能なのでしょうか。

• Passive Backdoor Mode
  MystRodXは、通常のバックドアと同じように特定のポート番号にバインドしてそのポート番号で脅威アクターからの指令を待ち受けするモードを備えています。
  しかしそれだけではありません。
  MystRodXは、自分自身でポートを開かない形式のモードを搭載しています。それがPassive Backdoor Modeです。
  • RAWソケットを使用してすべての受信トラフィックを監視する
    感染した機器に到着するすべてのパケットを監視しますが、開いているポートにはバインドしません。
  • DNSによるトリガー
    Passive Backdoor ModeのMystRodXは、マジックパケットによって動作を開始します。
    その一つが、DNSによるトリガーです。
    感染した機器のNICがAレコードのクエリーを受信し、そのクエリー内容をマルウェアが察知します。
    命令はクエリーされる文字列の中に、「www.命令文を暗号化した文字列.com」の形式で含まれています。
    この暗号化文字列部分を、Base64で復号化するとなかからC2のIPアドレスとポート番号が得られます。
    MystRodXはここに接続する形式で動作を開始します。
  • ICMPによるトリガー
    Passive Backdoor ModeのMystRodXのもう一つのトリガーは、ICMPパケットです。
    こちらはICMPのペイロード部分に情報が仕込まれています。
    通常はICMPのパケットのサイズを大きく指定してもペイロード部分に意味のある内容は存在しない状態で送信されるのですが、ここにDNSトリガーの際と同じようにC2のIPアドレスとポート番号が隠されています。
    もともとのICMPとしては通信確認に使用されるものですのでこの拡張部分のペイロードの内容はプロトコルとしては利用されないのですが、マルウェアはこの部分を使用します。

これはMystRodXの持つ特徴的な動作モードについての話でしたが、MystRodXはもう一つ特徴的な機構を搭載しています。
それがDual-process Guardian Mechanismです。
これはマルウェアが動作するのに必要なモードの動作が妨げられたことを検出した際に、もう一方のほうのモードを起動して動作を継続しようとする機能です。
そして、こういった起動や継続動作のための込み入った機能だけでなく、マルウェアの使用する設定情報を暗号化する機能、TCPとHTTPの2つの通信モードをサポートする、など環境の変化に柔軟に対応できる機能も搭載されています。

脅威アクターは、従来の設計や考え方による単に新しいバイナリによる新しいマルウェアを展開するだけでなく、まったく新しい概念を実現する新しい考え方のマルウェアを投入してきます。
これらに対応することを考える場合、防御側は従来の防御態勢のみでは対応できないように思われます。
常に新しい情報に注意し、改善できる点があれば改善していくことも必要に思えます。

MystRodX: The Covert Dual-Mode Backdoor Threat
https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor_en/