Syslogkはマルウェアの名称です。
タイプとしてはルートキットです。
ルートキットは、コンピュータに不正にアクセスし遠隔操作するために必要なソフトウェアをまとめたパッケージツールで、自らを含むソフトウェアの動作やデータを隠蔽する効能がある機能を含みます。
このため、この種のマルウェアが読み込まれて作用を開始すると、マルウェアの活動を検出することが困難な状態となります。
こんな感じです。
- ファイルやプロセスを隠ぺいする
感染した状態となるとマルウェアに関連するファイルやプロセスは通常の機能によって確認することができなくなります。 - カーネルモジュールを隠ぺいする
ルートキットの隠ぺい機能の実装された部分はカーネルモジュールとして実装されます。
そのカーネルモジュールは、隠蔽される機能に守られ、読み込まれていることを確認することはできません。 - はじめは眠っている
このマルウェアは送り込まれてすぐにシステムに感染する動作を選択していません。
送り込まれると一部機能を有効化しますが、その他の機能は休眠状態になります。 - マジックパケットで作戦開始
特定の条件を満たすTCPパケットが来ることを待ちます。
いわゆるマジックパケットです。
Wake on LANのマジックパケットみたいなものです。
それが到着したことがわかると活動を開始します。
攻撃者は意図したタイミングで活動を開始することができます。 - リモートシェル機能
Syslogkは他のマルウェアを持ってきて配置することができます。
持ってこられるものの一つにRekoobeがあります。
Rekoobeはリモートシェルです。
これによってリモートからコマンドの実行が可能になりますので、情報やアカウントの閲覧や取得、なんでもできそうです。
現時点ではSyslogkはLinuxのkernelのメジャーバージョンが3のものに対してのみ有効であるような実装になっています。
しかし開発中段階だと考えられるため時間の経過とともにより広い範囲で活動できる状態に拡張されていってしまうことが懸念されます。
先日のSymbioteもそうでしたが、発見することが難しいものが増える傾向にあるようです。
ホストの中の監視だけではマルウェアの活動を検出することが困難になってきています。
ホストでの対策に加えてネットワークでの監視機能の導入もいよいよ考える必要があるということかもしれません。
参考記事(外部リンク):New Syslogk Linux rootkit uses magic packets to trigger backdoor
www.bleepingcomputer.com/news/security/new-syslogk-linux-rootkit-uses-magic-packets-to-trigger-backdoor/
| この記事をシェア |
|
|---|
