新たに発見されたLinuxマルウェアは、1年以上にわたり検出を回避しており、攻撃者が侵害されたシステムで永続的なSSHアクセスを取得し、認証を回避できるようにします。
このマルウェアを特定し「Plague」と名付けたNextron Systemsのセキュリティ研究者によると、これは多層的な難読化技術と環境改ざんを利用して従来のセキュリティツールによる検出を回避する、悪意のあるPluggable Authentication Module(PAM)であると説明しています。
このマルウェアは、解析やリバースエンジニアリングの試みを妨害するアンチデバッグ機能、検出を困難にする文字列難読化、秘密裏のアクセスを可能にするハードコードされたパスワード、そして感染デバイス上で攻撃者の活動を示すセッションの痕跡を隠す機能を備えています。
一度ロードされると、SSH関連の環境変数を解除し、コマンド履歴を/dev/nullにリダイレクトして記録を防ぐことで、監査証跡やログインメタデータを消去し、攻撃者のデジタルフットプリントをシステム履歴ログやインタラクティブセッションから消し去るなど、実行時環境から悪意のある活動の痕跡を徹底的に消去します。
「Plagueは認証スタックに深く統合されており、システムのアップデートにも耐え、ほとんどフォレンジックの痕跡を残しません。多層的な難読化と環境改ざんを組み合わせることで、従来のツールによる検出を非常に困難にしています」と脅威リサーチャーのPierre-Henri Pezier氏は述べています。
「このマルウェアは、SSHセッションの証拠を排除するために実行時環境を積極的にサニタイズします。SSH_CONNECTIONやSSH_CLIENTなどの環境変数はunsetenvで解除され、HISTFILEは/dev/nullにリダイレクトされてシェルコマンドの記録を防ぎます。」
研究者がこのマルウェアを分析したところ、さまざまなLinuxディストリビューションで複数のGCCバージョンを使ってコンパイルされたサンプルが存在し、長期間にわたって活発に開発が続けられていることを示すコンパイルアーティファクトも発見されました。
さらに、過去1年間に複数のバックドアの亜種がVirusTotalにアップロードされているにもかかわらず、いずれのアンチウイルスエンジンもそれらを悪意のあるものとして検出していないことから、マルウェアの作成者が未検出のまま活動していたことが示唆されます。
「Plagueバックドアは、Linuxインフラストラクチャに対する高度で進化する脅威を表しており、コアとなる認証機構を悪用してステルス性と永続性を維持します」とPezier氏は付け加えています。「高度な難読化、静的な認証情報、環境改ざんの利用により、従来の方法では特に検出が困難です。」
5月には、Nextron SystemsがPAM(Pluggable Authentication Modules)Linux認証基盤の柔軟性を悪用した別のマルウェアを発見しており、これにより作成者は認証情報の窃取、認証の回避、侵害デバイス上でのステルスな永続化を可能にしています。
