繰り上がりを待つSockDetour

ほぼこもセキュリティニュース By Terilogy Worx

SockDetourは、バックドアです。
でも基本的に出番は少ないです。
なんと、バックアッププラン用のバックドアなのです。
こんな感じです。

  • TiltedTempleと呼ばれているAPTキャンペーンで使われている
  • TiltedTempleは脆弱性を悪用して実施される
    CVE-2021-40539:Zoho ManageEngine ADSelfService Plusの脆弱性
    CVE-2021-44077:ServiceDesk Plusの脆弱性
  • SockDetourはバックアップバックドアである
    メインのバックドアが機能しない状態となった時に使用されます。
  • SockDetourは脆弱性を悪用して動作する
    QNAPのNASの脆弱性を悪用します。
    CVE-2021-28799:QNAPのリモートコード実行脆弱性
  • SockDetourはファイルレス動作をする
    SockDetourはファイルレスで開始され、既存ネットワークソケット宛のネットワーク接続を乗っ取り、そのソケットを介してリモートの脅威アクターとの間で暗号化されたC2チャネルを確立します。
    利用されるその時までひっそりとしています。
    動作の仕組み上、検出は困難です。

検出が困難なファイルレスなバックドアという実装上の特性にも驚きますが、それ以上にバックアップ用のバックドアという仕組みの周到さのほうに驚きます。
このAPTキャンペーンは、メインのほうの攻撃もバックアップのほうの攻撃も脆弱性を悪用したものになっています。
これには怪しいファイルを開かないなどの人の行動に関連した対策だけでは対応できません。
タイムリーで継続的なパッチ適用の運用が必要という例となっています。

参考記事(外部リンク):SockDetour: 米国防衛関連企業をひそかに狙うファイルレス・ソケットレスのバックドア
unit42.paloaltonetworks.jp/sockdetour/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。