編集部からのお知らせ
新着 記事まとめPDF「データセンター分散化」
記事まとめPDF「日本のスタートアップ」

新たな形態のLinuxマルウェアが見つかる--検出は「ほぼ不可能」

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部

2022-06-10 10:28

 検出が「ほぼ不可能」という新たな形態のLinuxマルウェア「Symbiote」が、BlackBerryのResearch and Intelligence Teamの研究者らと、Intezerのセキュリティ研究者であるJoakim Kennedy氏によって発見されたという。カナダのBlackBerryが現地時間6月9日に発表した。

PCの画面を見る人
提供:Getty Images/iStockphoto

 それによると、このマルウェアは「寄生性」を有しているためSymbiote(共生者)と名付けられたという。

 これらの研究者らがSymbioteを発見したのは数カ月前のことだ。Symbioteは、実行中のプロセスに対して侵害を試みるという、Linuxで今日一般的に見られる通常のマルウェアとは異なり、LD_PRELOADを介することで、実行中のすべてのプロセスにロードされる共有オブジェクト(SO)ライブラリーとして動作する。

 研究者らによると、このSOライブラリーは標的となったマシンに「寄生」するかたちで侵害を試みるという。そしてシステムに食い込んだ後、同マルウェアは攻撃者にルートキットの機能を提供するという。

 Symbioteの最初のサンプルは2021年11月に検出されており、ラテンアメリカ地域の金融機関を標的として開発されたものと考えられている。しかし、Symbioteは新型で、回避性能も極めて高いマルウェアであるため、研究者らは標的型攻撃で使われているのか、あるいは広範な攻撃で使われているのかどうかすら確証が得られないとしている。

 Symbioteはいくつかの興味深い特徴を有している。一例を挙げると、このマルウェアは感染したマシン上での悪意あるトラフィックを隠蔽(いんぺい)するために、Berkeley Packet Filter(BPF)フッキングという機能を悪用している。なお、BPFはEquation Groupが開発したマルウェアでも悪用されている。

 BlackBerryの説明によると、「管理者が、感染したマシン上で何らかのパケットキャプチャーツールを起動すると、捕捉対象となるパケットを定義するBPFのバイトコードがカーネルに注入される。この処理において、Symbioteは自らのバイトコードを最初に追加するため、パケットキャプチャーツールに捕捉されたくないネットワークトラフィックを除去することが可能になる」という。

 このマルウェアが有する最も特徴的な要素の1つは、ステルス性だ。Symbioteは他の共有オブジェクトのロードに先立ってプリロードされ、libcやlibpcapを含む特定の関数をフックすることで自らの存在を隠蔽する。Symbioteに関連付けられている他のファイルも隠蔽され、そのネットワークエントリーも継続的に消去される。

 さらに、Symbioteはlibcのread関数をフックすることで認証情報を窃取でき、Linux Pluggable Authentication Module(PAM)のいくつかの関数をフックすることでリモートアクセスを可能にする。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]