高度なセキュリティで守られた隔離ネットワークの内側に、攻撃者が約10年間潜み続けていたとしたら——Sygniaのインシデントレスポンスチームが最近行った長期調査「Operation Highland」では、まさにその事実が明らかになりました。
「Velvet Ant」と呼ばれる中国との関連が指摘される脅威アクターは、少なくとも2016年以降、重要インフラ環境に検知されることなく潜伏し続けていました。
Velvet Antは以前、レガシーなWindows基盤やF5アプライアンス、そしてCiscoのゼロデイ脆弱性を悪用した事例が確認されている高度な攻撃グループです。今回の侵害が特に注目される点は、標的ネットワークがインターネットと直接接続されていなかったことです。
このエアギャップを突破するため、Velvet Antは一般的な永続化手法を捨て、LinuxのPAMおよびOpenSSHバイナリにバックドアを仕込むことで、ネットワークの認証レイヤー全体を完全に乗っ取りました。
標的環境は意図的に外部から切り離されていたため、攻撃者はそこへ到達するための多段階アクセスチェーンを構築する必要がありました。
まず、改変版のGS-Netcatを使用してインターネットに公開されているサーバへの足がかりを確立しました。「auditdb」という正規のシステムユーティリティを装ったこのツールは、高い隠蔽性を持つ暗号化リバースシェルとして機能しました。
横断的な移動(ラテラルムーブメント)を容易にするため、攻撃者はカスタム製のSOCKS5プロキシも展開しました。悪意あるプロセスには、通常のシステム操作を装った名前が慎重に付けられていました。
さらに内部へ侵入するにあたり、Velvet Antはインターネットに公開されているNginxサーバを実行の中継点として悪用しました。特定の受信HTTPリクエストをバックエンドのFastCGIプロセスに転送するよう、サーバ設定を改ざんしました。
この巧妙なルーティングにより、隔離された重要インフラへ直接SSHで接続するカスタムバイナリ上でコマンドを実行することが可能になりました。
単純なHTTPリクエストを通じて攻撃者はセキュアなトンネルを確立し、保護されたネットワークセグメントへの直接的なインターネット接続なしに機密データを抜き取りました。
コアネットワークへの侵入に成功すると、Velvet Antは認証スタック全体を乗っ取ることで長期的なアクセス手段を確保しました。
複数のホスト上で正規のpam_unix.soモジュールを悪意を持ってコンパイルされたバージョンに置き換えていました。調査の結果、このモジュールには9つの異なるバリアントが確認されており、標的ごとに高度に構造化されたビルドパイプラインが存在していたことを示しています。
バックドアが仕込まれたこれらのモジュールには、ハードコードされたパスワードを受け入れるパッチが当てられており、攻撃者は通常の認証検証を完全に回避できる状態にありました。
それと同時に、モジュールは正規の管理者のユーザー名とパスワードを密かに収集し、隠しファイルに保存していたとSygniaは報告しています。
このグループはさらにカスタマイズされたOpenSSHスイートを展開し、ssh・sshd・scpのバイナリに直接悪意ある機能を注入しました。
改ざんされたこれらのツールは、積極的な認証情報ダンプツールおよびセッションキーロガーとして機能しました。管理者がタイプしたすべてのコマンドが記録され、暗号化されたログファイルに保存されていました。
高度な運用規律を示すかのように、攻撃者はツールにカスタムの-dフラグを組み込み、ログを一時的に無効化できるようにしていました。これにより、自身のラテラルムーブメントがフォレンジック的な証拠を一切残さないよう徹底されていました。
さらに、侵害されたSCPバイナリはroot権限で実行された際にSELinuxを自動的に無効化するよう細工されており、重要な強制アクセス制御が剥ぎ取られる仕組みになっていました。
翻訳元: https://cyberpress.org/backdoored-linux-binaries-steal-credentials/