Auto-Colorという名前は、いかにも色に関係する機能を提供する 通常のライブラリであるかのような雰囲気ですが、通常のアプリケーションやライブラリではありません。
Auto-Colorはバックドア型マルウェアです。
このマルウェアは厄介な機能をいくつか含む内容となっています。
Auto-Colorの様子を見てみましょう。
- 名前が無害っぽい
攻撃が進捗するその段階によって、このマルウェアの名称は変わります。
しかし、そのいずれも名前は無害っぽいものとなっています。
まったく侵害が進捗していない段階でのファイル名は、doorとかeggとなっています。
侵害の過程で名称が変更される段階を経ると、ファイル名はauto-colorとなります。 - 消しにくい
設置の工程の効能で、設置されたauto-colorは通常のファイルのように削除することはできない状態になるように設置されます。
システムの起動時に各種ライブラリが読み込まれますが、これらの初期に読み込まれるライブラリよりもさらに手前の段階で読み込まれるように動作します。
このあたりの動きがポイントとなって単にファイルとして削除するような方法での対応はできない状態になります。
このように、感染行為が実施される際のユーザ権限によっては、永続化機構を含んで設置されます。 - 存在がわかりにくい
Auto-Colorには一種のルートキットのような機能が内包されています。
この機能により、libc関数をフックしてシステムコールを傍受するなどを行い、結果として検出回避を実現します。
前述の消しにくい設置状態を実現する行為にもこの機能が使われます。 - 操作できる
Auto-Colorにはバックドア機能が含まれます。
設置が完了すると、C2からのコマンドを待ち受けてきたら実行するというループ処理が開始されます。
マルウェアの使用するファイルも暗号化されていますが、それだけでなくC2とのやり取りも暗号化されます。
このマルウェアは独自の暗号化アルゴリズムを使用してコマンドアンドコントロールサーバ情報を復号化し、ランダムな16バイト値のハンドシェイクを介して交換を検証します。
ここで使用される暗号化キーは要求毎に動的に変更されるため、検出が難しい動作となっています。
このバックドアは攻撃者の指示するコマンドを実行する機能に加えて、自爆スイッチ機能も搭載しています。
実装されたいくつもの特性のより、Auto-Colorは厄介なマルウェアに仕上がっています。
設置されたAuto-Colorは、ステルス性、モジュール設計、リモート コントロール機能を備えています。
未感染の状態でマルウェアのファイルを実行してしまうと、もう対応が難しい状態になってしまいます。
その実行しようとしているファイル、実行しても大丈夫なものですか?
Auto-Color: An Emerging and Evasive Linux Backdoor
https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color/
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- 脆弱性としてのソースコード – Twitchの情報流出がもたらす真のセキュリティ脅威を究明
- Twitchのソースコードが公開された事により明らかになった情報について、一般的にはストリーマー(動画配信者)の収益に注目が集まっていますが、6,000のGitリポジトリを調査し...
-
サイバー領域
- 【GitGuardianブログ】国家のサイバーセキュリティ向上に関する大統領令(EO)ー「クリティカルソフトウェア」とは、またそのセキュリティ対策とは?ー
- 本記事は、GitGuardian社のホームページで公開されたブログ記事を日本語に翻訳したものです。GitGuardian社はGitHubから流出した機密情報をリアルタイム検知する...