Quasar Linux(QLNX)は新しい隠密性の高いLinux遠隔アクセストロージャンで、開発者やDevOpsワークステーションをソフトウェアサプライチェーン攻撃の高価値な足がかりに静かに変えてしまいます。ファイルレス実行、eBPFルートキット、PAMバックドア、P2P C2メッシュを使用して従来の防御を回避しています。
その名前にもかかわらず、Windows中心のQuasarRAT族とは無関係です。モダンなLinux開発環境向けに特別に構築されています。
このマルウェアは主にLinux開発者ワークステーションとCI/CDビルドホストで観察されており、Debian、Ubuntu、RHEL、Fedora、Archなどの一般的なディストリビューションが実行されています。アクセスには通常、ソースリポジトリ、ビルドパイプライン、パッケージレジストリ、クラウドアカウントが含まれます。
戦略的な目標は明確です:SSH秘密鍵、Gitパーソナルアクセストークン、NPMおよびPyPIトークン、AWSおよびKubernetes設定シークレット、ブラウザに保存されたパスワード、プロジェクトレベルの.envファイルなどの高価値認証情報を収集して、ソフトウェアサプライチェーン全体でコード改ざんとクラウド侵害を可能にすることです。
QLNXは単一のELFバイナリとして到着しますが、従来のファイルベース検出を回避するためにほぼ純粋なメモリ内実行にすぐに転換します。
起動時には、memfd_createなどのLinuxシステムコールを使用して匿名のメモリ内ファイルを作成し、実際のペイロードをそのディスクリプタに書き込み、execveaを介して実行してから、元のディスク上のバイナリをアンリンクして、実行中のプロセスがディスク上に表示可能な実行可能ファイルを持たないようにします。
プロセスリストに隠れたままでいるために、マルウェアは独自のcommおよびargvフィールドを書き直して、[kworker/0:0]または[migration/0]などのカーネルワーカースレッドになりすまし、casual psまたはtopレビュー中に見落としやすくします。
Trend Microが報告書でGBhackersと共有したところによると、QLNXをリモートシェルアクセス、ファイルおよびプロセス管理、認証情報収集、ルートキット制御、SOCKSプロキシを網羅する58個のコマンドハンドラーを持つ機能豊富なLinux RATとして説明しています。
同時に、ホストのgcc自体を使用して埋め込まれたCソースからルートキットとPAMバックドアコンポーネントを動的にコンパイルし、/dev/fd/または/tmpなどのパスをターゲットにして、スタティックシグネチャを介してフラグを立てることが難しいホストごとに一意な共有オブジェクトを生成します。
ファイルレスLinux攻撃
QLNXはユーザースペースLD_PRELOADルートキットとカーネルレベルのeBPFコントローラーを組み合わせた2層ルートキット設計を使用しています。
ユーザースペースコンポーネントは/etc/ld.so.preloadを介してlibsecurity_utils.so.1(および関連名)として登録され、動的にリンクされたすべてのプロセスに悪意のあるライブラリをロードするよう強制し、マルウェアがファイル、プロセス、およびその他のアーティファクトを標準ツールから隠すことを可能にします。
eBPFレイヤーはBPFマップとプログラムを使用して、選択されたプロセスID、ファイルパス、ネットワークポートをカーネルレベルで隠蔽し、通常のコマンドラインユーティリティに依存している防御者の可視性をさらに低下させます。
認証情報アクセスのために、QLNXは悪意のあるPAMモジュール(例えば、pam_security.soおよびlibpam_cache.so)をデプロイしており、これらはPAMスタックに統合され、認証をバックドアし、ローカルログインおよびsudoイベントからクリアテキストパスワードを記録します。
これらの認証情報は、/var/log/.ICE-unix、/var/log/.Test-unix、および/tmp/.pam_cacheなどの場所の下にあるXOR暗号化された隠しファイルに保存されており、収集されたSSH鍵、ブラウザ認証情報、および~/.ssh、~/.npmrc、~/.pypirc、~/.aws、~/.kube、およびプロジェクト.envファイルから収集されたトークンが一緒に保存されます。
単一の集中化されたコマンドアンドコントロールサーバーの代わりに、QLNXはピアツーピアメッシュを構築し、侵害されたホストがTLSでラップされたカスタムプロトコル経由で互いにオペレータコマンドをリレーします。
プロトコルはハンドシェイク中に固定のマジック値を使用しますが、ほとんどの監視システムにとってトラフィックは最初は通常の暗号化された送信TLSとして表示され、シンプルなブロックリストベースの防御を複雑にします。
軽減策
QLNXは意図的に永続的なアーティファクトを最小化し、主にRAM内に存在するため、効果的な検出には、システムコールテレメトリ、ファイル整合性監視、認証ログ、ネットワークフロー全体のシグナルの相関が必要です。
高価値インジケータには、memfdパスからの匿名実行、/tmpまたは/dev/fdに.soファイルを書き込む疑わしいgccコンパイル、/etc/ld.so.preloadの任意の変更、/tmpおよび/var/logでの隠し高エントロピーファイルの作成、QLNXのカスタムハンドシェイク識別子に一致する異常なTLSセッションが含まれます。
Trend Microおよび他のベンダーは、eBPFルートキット、PAMフック、ライブラリインジェクション、P2P永続性の組み合わせを考慮して、確認されたQLNX侵害を完全なOSワイプおよび検証済みクリーンイメージからの再インストールの根拠として扱うことを推奨しています。
並行して、防御者は影響を受けたホストを分離し、すべてのQLNX永続性アーティファクトを削除し、/etc/ld.so.preloadおよびPAM設定パスを厳密に監視し、開発者フロート全体で既知のQLNXファイルパスとミューテックスファイルに厳密なFIMとアラートを配置する必要があります。
翻訳元: https://gbhackers.com/fileless-linux-attacks/
