BiBi-Linux Wiper

ほぼこもセキュリティニュース By Terilogy Worx

また新たなワイパー型マルウェアが観測されています。
名前はBiBi-Linux Wiperです。
どういった内容でしょうか。

  • 活動内容
    破壊活動が目的です。
    Linux環境の破壊を行います。

     

  • 難読化
    難読化は行われていません。
    C/C++で記述されてgccでコンパイルされたx64のELF実行可能ファイルです。
    パッキングやその他の保護手段も施されていません。
    静的解析を実行すれば処理内容が確認できます。
    それどころか実行すると標準出力に処理内容に関連する情報が次々に出力されます。

     

  • プロセスの継続動作の機構
    実行された後継続動作が可能なように、nohupコマンド経由で実行されます。
    これにより、マルウェアが起動されたshellなどのプロセスが終了する場合にでも、マルウェアは終了することなく動作し続けます。
    またそれと同時に、マルウェアが出力する文字列も端末に出力されるのではなく、ファイルに出力されるようになります。

     

  • 機能
    マルウェアの機能は削除です。
    いろいろな手法で削除を行います。
    複数のスレッドとキューを利用してファイルを同時に破損することで破壊速度を向上させる、ファイルを上書きして復元を難しくする、ランダムな文字列でファイル名を変更し元の状態がわからなくする、などの機能があります。

     

  • C2との通信
    C2への通信は行われません。
    実行が開始されると破壊活動を行うのみです。
    身代金も要求しません。活動開始とともに破壊活動を開始します。

BiBi-Linux Wiperは、感染と同時に問答無用で高速に破壊活動を行うものといえそうです。

ちなみに「bibi」というのはイスラエルの首相のニックネームだそうです。
ここのところ、ワイパー型マルウェアが話題になることは減っていたように感じますが、脅威アクターの周辺の情勢に影響するのかまた増えてきているのかもしれません。

参考記事(外部リンク):BiBi-Linux: A New Wiper Dropped By Pro-Hamas Hacktivist
Group

www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。