CanisterWormは、名前の通りワーム型マルウェアです。
ワーム型マルウェアは、他のファイルに寄生せず単体で動作し、ネットワークやUSBメモリなどを経由して自己増殖・拡散します。
ここのところ、このマルウェアが多くの環境に広がっていることが確認されています。
どんな動きをするのでしょうか。
- 舞台はKubernetes
このマルウェアの狙いはKubernetesクラスターです。
侵害先に忍び込むと、Kubernetesクラスターの存在を検査します。
そして、その存在などをもとに動作を変化させます。 - イランのシステムの破壊
侵入後、マルウェアは当該環境がイランのタイムゾーンと地域に一致するかを確認します。
これに適合したことが判定されると、マルウェアは破壊活動を開始します。- Kubernetesクラスターがある環境
この環境にKubernetesクラスターが存在することがわかると、Kubernetes上でホストのルートファイルシステムを取り扱うことのできる状態でDaemonSetを動作させます。
そして、破壊用のコンテナを動作させ、ホストファイルシステム上のすべてのトップレベルディレクトリを削除した後、ホストを強制的に再起動します。
再起動が実行されたホストは何の処理もできない電気を消費するだけの機器となります。 - Kubernetesクラスターがない環境
この場合、マルウェアはroot権限で直接ホストのルートファイルシステム上のすべてのトップレベルディレクトリを削除します。
root権限が利用できない場合はsudoでroot権限での動作を試みます。
- Kubernetesクラスターがある環境
- Kubernetesのあるイランでないシステムの侵害
この環境にKubernetesクラスターが存在することがわかると、Kubernetes上でホストのルートファイルシステムを取り扱うことのできる状態でDaemonSetを動作させます。
そして、この環境でホストのファイルシステムにPythonのバックドアを書き込み、それをsystemdサービスとしてインストールすることで、すべてのノードに永続的に存在するようにします。 - Kubernetesのないイランでないシステムでの動作
この状況にある環境に侵害が試みられた場合、悪意のある動作は行われず、マルウェアはそのまま終了します。
Kubernetesは快適な環境を提供します。
しかし、快適になるのは想定された利用者だけではありません。
利便性・拡張性の高いシステムを運用する場合には、継続的にそれに応じた安全対策を施すようにして、付け入られることのないようにすることが重要となります。
CanisterWorm Gets Teeth: TeamPCP’s Kubernetes Wiper Targets Iran
https://www.aikido.dev/blog/teampcp-stage-payload-canisterworm-iran
| この記事をシェア |
|
|---|
