2026年1月13日、Check Point Researchは、クラウド環境を標的とする中国で開発されたLinuxマルウェア・フレームワーク「VoidLink」の分析を公開しました。
この公開を受けて、Sysdig Threat Research Team(TRT)はVoidLinkのバイナリを調査し、ローダーチェーン、ルートキット内部構造、制御メカニズムを理解しました。
VoidLinkの最も重要な革新は、Linuxマルウェアにおける長年の課題である「カーネルモジュールの移植性の欠如」に対処する点です。
従来のLKMルートキットは、特定のカーネルバージョン向けに事前コンパイルされたモジュールを埋め込むため、互換性が大きく制限されます。VoidLinkはこれをサーバーサイド・ルートキット・コンパイル(SRC)によって解決します。SRCでは、C2サーバーが各ターゲットの特定カーネルバージョンに合わせて、必要に応じて動的にカーネルモジュールをビルドします。
インプラントが/compileへのPOSTでコンパイルを要求すると、カーネルのメタデータ(カーネルリリース、利用可能なコンパイラ、ヘッダーの有無)を送信します。
調査結果は明らかにし、防御側がクロスプラットフォームのルートキット展開を理解する方法そのものに根本的な見直しを迫る、前例のないカーネル移植性へのアプローチを示しています。
C2は、ターゲット環境に正確に一致する、コンパイル済みのeBPFモジュール、ハイブリッド、またはLKMを返します。
このアーキテクチャは、文書化されたマルウェアとしては前例がありません。Krasue RATのような過去のフレームワークは、(特定バージョンのみを対象に)事前コンパイル済みルートキットを7つ埋め込んでいましたが、Drovorubは単一の事前コンパイル済みモジュールに依存していました。
VoidLinkの手法はこの制約を完全に取り除き、クライアント側のビルドツールを必要とせず、1.2MBのインプラントを肥大化させることなく、無制限のカーネルバージョンをサポートします。
AIの痕跡を伴う中国での開発
技術分析から、プロの開発者による実装に加え、AI支援のコード生成が組み合わされていることが示されています。
埋め込まれたカーネルソースには、中国語のコメントが多数含まれており、Linux 5.7でkallsyms_lookup_nameがエクスポートされなくなり、kprobeベースの回避策が必要になった変更を把握しているなど、本物の専門知識が示されています。
同時に、AI支援の証拠として、モジュール間で統一されたデバッグ書式、プレースホルダーデータ(テンプレート内の「John Doe」)、および全プラグインで一貫した_v3のバージョニング(BeaconAPI_v3、docker_escape_v3、timestomp_v3)が挙げられます。
最も可能性が高いシナリオは、中国語話者の熟練開発者が、ボイラープレート生成の加速にAIを用いつつ、コアとなるアーキテクチャとセキュリティ面の専門知識は自ら提供したというものです。
VoidLinkはインストール済みのセキュリティ製品をリアルタイムでプロファイリングし、プロセス列挙とパス探索によりCrowdStrike、SentinelOne、Carbon Black、Falco、Wazuh、OSSEC、osquery、auditdを検出します。
検出すると、マルウェアはビーコンのタイミングを、攻撃的(ベース遅延4096ms、ジッター20%)から、慎重(ベース遅延1024ms、ジッター30%)へ調整します。
このフレームワークは冗長性のために3つの制御チャネルを提供します。prctlマジック・インターフェース(0x564Cのマジック値によるローカルなルートキット制御)、Berkeley Packet Filterのマップ更新(eBPFベースのステルス用)、およびICMP秘匿チャネル(0xC0DEのマジックIDを持つpingパケット経由でリモートコマンドを可能にする)です。
この三層アプローチにより、主要なC2チャネルが妨害されても永続性が確保されます。
高度化にもかかわらず検知は可能
高度な回避機能があるにもかかわらず、VoidLinkはランタイム監視によって検知可能です。Sysdig Secureのユーザーは、ルートキットのインストール、ファイルレス実行、カーネルモジュール注入、eBPFロードを対象とするルールを利用できます。
Falcoのデフォルトルールセットには、memfd_createを用いたファイルレス実行の検知が含まれています。fork、prctl(PR_SET_NAME)、socket、connect、memfd_create、execveatという特徴的なシステムコール列は、識別可能な振る舞いシグネチャを形成します。
VoidLinkの特化したKubernetesおよびコンテナ脱出機能に加え、クラウドネイティブな検知(AWS、GCP、Alibaba、Tencentのメタデータエンドポイント)は、同マルウェアを現代のインフラに対する深刻な脅威として位置付けます。
VoidLinkは従来のセキュリティツールを回避するために能動的に適応するため、組織は静的シグネチャよりもランタイムの脅威検知を優先する必要があります。
完全なC2ダッシュボード、37の運用プラグイン、メッシュネットワーキング機能を含むこのフレームワークの成熟度は、継続的な開発努力と、現実世界での運用展開の可能性を示唆しています。
侵害指標(IoC)
| ステージ/種別 | 説明 | ハッシュ(SHA256または類似) |
|---|---|---|
| Stage 0 | ドロッパー | 70aa5b3516d331e9d1876f3b8994fc8c18e2b1b9f15096e6c790de8cdadb3fc9 |
| Stage 1 | ドロッパー | 13025f83ee515b299632d267f94b37c71115b22447a0425ac7baed4bf60b95cd |
| インプラント | リモートコンパイル | 4c4201cc1278da615bacf48deef461bf26c343f8cbb2d8596788b41829a39f3f |
| 自己コンパイル亜種 | — | 05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69 |
| Zigデバッグ亜種 | — | 15cb93d38b0a4bd931434a501d8308739326ce482da5158eb657b0af0fa7ba49 |
翻訳元: https://gbhackers.com/voidlink-rootkit-tactics/
