ShadowHSは、Linuxシステムを狙う巧妙なファイルレスマルウェアです。この脅威は隠しローダーを使い、改変された「hackshell」ツールを完全にメモリ上で実行し、ディスク上のファイルを回避します。
ShadowHSとして追跡されており、手早い金銭目的の攻撃よりも、ステルス性と長期的な支配に重点を置いています。
自動化されたSSHブルートフォース攻撃で拡散する一方、主な目的は攻撃者が安全に対話的アクセスを得ることです。
無差別に拡散したり、すぐに暗号資産のマイニングを始めたりする典型的なLinuxマルウェアとは異なり、ShadowHSは慎重に立ち回ります。
ローダーは、OpenSSL、Perl、gzipを用いて、AES-256-CBC暗号化でペイロードをすべてメモリ内で復号します。
プロセス名を偽装し、実行前にopensslのようなツールの有無を確認します。ディスクへの書き込みがないため、アンチウイルスやフォレンジックで検知しにくくなっています。
ShadowHSは巧妙なチェックから開始します。ファイルやサービスをスキャンして、CrowdStrike、Cortex XDR、Microsoft Defenderなどのセキュリティツールをフィンガープリントします。
また、KinsingのマイナーやEburyのバックドアといった競合マルウェアも探し出し、単独で居座るためにそれらを停止させます。
実行時の挙動は静かで、まずシステム、ユーザー、防御状況を把握します。その後の手順は攻撃者が手動で決定します。
潜在的な機能には、メモリからの認証情報ダンプ、ダウンロードしたエクスプロイト(Dirty Pipeなど)による権限昇格、XMRigやGMinerによる暗号資産マイニングが含まれます。
拡散のために、RustScanでSSHポートを見つける探索を自動化し、その後「spirit」で標的に対してブルートフォースログインを行います。これにより、大きなノイズを出さずにラテラルムーブメントが可能になります。
データ窃取も巧妙です。62.171.153[.]47へ、GSocketトンネル上のrsyncでファイルをステージングし、ファイアウォールを回避します。標準的なSSHやSCPは使わず、gs-dbusやgs-netcatによるユーザー空間の手法のみを用います。
Cybleによると、この攻撃チェーンは2つの要素で構成されます。マルチステージのシェルローダーと、hackshellペイロードです。
この構成は、EDRやAWSのようなクラウドが想定される、脆弱なサーバーではなくエンタープライズLinuxに適しています。
/procのスキャン、AESを使ったPerlワンライナー、argvの偽装、または異常なトランスポート上のrsyncを探索してください。IOCをブロックし、メモリ実行やGPU使用率の急増を行動ベースのツールで検知しましょう。
カーネルにパッチを適用し、SSHを制限し、RustScan/spiritの兆候についてクラウドを監視してください。ShadowHSは、Linuxの脅威がオペレーター向けツールへ進化していることを示しています。警戒を怠らないでください。
翻訳元: https://cyberpress.org/shadowhs-spreads-across-linux/