RustDuckボットネット、Telnet・SSH・Android ADB・TP-Link・ZTE・Jenkinsの脆弱性を悪用

RustDuckは、2段階構成のローダー+コアという設計を採用し、Rustによる実装が増加しているボットネットです。急速な技術的進化、強固な解析妨害機能、そして多様な感染手法を備えている点が特徴です。

現時点での主な目的は大規模DDoS攻撃ですが、その拡散技術によりルーター、カメラ、Androidデバイス、サーバーと、広範かつ拡大し続ける攻撃対象へのリーチを実現しています。

RustDuckは、脆弱なパスワードへのブルートフォース攻撃と複数のリモートコード実行(RCE)脆弱性の悪用を組み合わせて拡散します。

確認されている侵入手法には、TelnetおよびSSHの認証情報総当たり攻撃のほか、Android ADB、TP-LinkおよびZTEのデバイスファームウェア、さらにJenkinsなどのエンタープライズ製品における脆弱性の悪用が含まれます。

過去のCVEやレガシーデバイスの既知バグが、新たな脆弱性と組み合わせて再利用されており、感染対象の最大化が図られています。

このキャンペーンは、脆弱なパスワード・IoTデバイスの脆弱性・WebアプリケーションのRCEという3つの拡散戦略を組み合わせています。これにより、家庭用・企業用を問わず機器の自動的な大量侵害が可能となっています。

研究者らは、ボットネットを拡散させているIPアドレスを20件以上確認しています。インプラントのチェーンは通常、小型のローダーバイナリから始まり、圧縮されたコアペイロードを展開・実行することで、大規模な自動スキャンとペイロード配信を可能にします。

RustDuckのローダーステージは、少なくとも4つの異なるバリアントを経て進化してきました。ローダーはシンプルな構造を持ち、ELFファイルに埋め込まれたコンパクトなローダースタブに、圧縮されたコアデータと設定ブロブが続く形式です。

バリアントごとに設定サイズ、暗号化アルゴリズム、展開方式が異なります。初期のローダーはLCGベースのXORとLZ4展開を使用していましたが、後期のものはXoshiro128 PRNG、ChaCha20暗号化、および異なる圧縮方式といった、より強固なプリミティブへ移行しています。

この変更により、大量の静的解析がより困難になっています。一部のローダーには動的な定数やノイズフィールドが含まれており、一括復号を防ぐ仕組みになっています。この進化は、自動アンパッキングやシグネチャベース検出の難易度を引き上げることへの、開発者の強い意図を示しています。

ボットネットのコアステージは、Rustへの明確な移行と高度な実装技術の向上が見て取れます。鍵導出にはHKDF-SHA256が使用されており、場合によっては10分ごとにローテーションする時間ベースの動的鍵も採用されています。

ネットワークハンドシェイクにはCurve25519に類似したECDHパターンが用いられ、前方秘匿性が確保されています。トランスポート層では、RustDuckの各バリアントが、軽量なAscon128、またはChaCha20-Poly1305とAES-GCMを組み合わせたハイブリッド方式へと分岐しています。

この多層的な暗号化により、防御側がトラフィックを復号できる可能性は大幅に低下しています。Qianxinによると、解析妨害技術は積極的かつ多層的に実装されているとのことです。

コアには重み付きリスクスコアリングシステムが実装されており、主要なデバッガーの検出、サンドボックスのフィンガープリント、仮想MACのOUI、ハニーポットファイル、時刻の矛盾、予約済みテストIPへの高速ネットワーク接続など、多数のチェックが実行されます。

ランタイムスコアが閾値を超えると、プログラムは痕跡を消去して終了します。こうした仕組みはサンドボックス上での動的解析を複雑にし、研究者による分析を遅く・不確かなものにしています。

翻訳元: https://cyberpress.org/rustduck-botnet-expands-attacks/

ソース: cyberpress.org