高度なファイルレスLinuxマルウェア・フレームワーク「ShadowHS」は、侵害後(ポストエクスプロイト)ツールの大きな進化を示しています。
従来のマルウェアバイナリとは異なり、ShadowHSは完全にメモリ上で動作し、防御が施されたエンタープライズ環境での長期的な永続化を目的として設計された、オペレーター主導の高度な機能を示します。
ShadowHSは単体のマルウェアバイナリではなく、hackshellユーティリティを大幅に改変し、フル機能の侵入フレームワークとして武器化した亜種です。
このマルウェアはファイルレス実行を中核の設計原則として取り込み、匿名ファイルディスクリプタから実行しつつ、検知回避のためにプロセス名を偽装します。
感染チェーンのいかなる時点でもペイロードがディスクへ書き込まれることはなく、従来のファイル整合性監視やアンチウイルスの検査メカニズムを実質的に回避します。
感染は、埋め込みペイロードを保護するためにAES-256-CBC暗号化を用いる、多段階の暗号化シェルローダーから始まります。
Cyble Research & Intelligence Labs(CRIL)は特定したところによると、高度に難読化されたファイルレスローダーを悪用し、武器化されたhackshell亜種を完全にメモリ上から展開するLinux侵入チェーンが確認されています。
実行時、ローダーはOpenSSL、Perl、gzipを含む実行時依存関係を検証し、その後、正しいペイロード実行を保証するために呼び出しコンテキストを動的に判定します。
ペイロードは複雑なデコード・パイプラインを通じて再構成され、偽装されたargvパラメータとともに、/proc/<pid>/fd/<fd>経由でメモリから直接実行されます。通常はPython3のような正規プロセスを装います。
オペレーター主導の設計
ShadowHSが一般的なマルウェアと異なる点は、意図的に抑制された実行時挙動にあります。
暗号資産マイナーを即座に展開したりデータ流出を開始したりするのではなく、このフレームワークは環境偵察、セキュリティ制御の発見、運用上の安全性を優先します。
初期段階での抑制と、広範な休眠機能との明確な分離は、自動化されたマルウェアロジックではなく、意図的なオペレーターのトレードクラフト(手口)を強く示唆します。
ペイロードは、CrowdStrike Falcon Sensor、Sophos Intercept X、Cortex XDR、Microsoft Defender、Elastic Agent、Wazuh、Tanium、複数のクラウドベンダーエージェントなど、エンタープライズ向けセキュリティソリューションの積極的なフィンガープリンティングを実行します。
これらのプラットフォームを検出するために、ファイルシステムパスのチェックとサービス状態の列挙の双方が用いられ、結果は意思決定のためにオペレーターへ直接提示されます。
ShadowHSは、Rondo、Kinsing、そして悪名高いEburyのOpenSSH認証情報窃取バックドアなど、競合するマルウェアファミリを特定して終了させるための強固なアンチ競合ロジックを実装しています。
このフレームワークは競合する暗号資産マイナーを能動的に探索し、ロード済みカーネルモジュールのチェックによりカーネルルートキットを検出し、過去の侵害を示す可能性のある削除済み実行ファイルやmemfdバックの実行ファイルを列挙します。
さらに、AppArmorなどのカーネル保護を調査し、ロード済みモジュールを点検し、/procを調べて計測・インストルメンテーションの兆候を探すことで、セキュリティ態勢を深く内省します。
ShadowHSの最も高度な機能の一つは、従来のネットワーク転送手段を完全に回避する、オペレーター起動型のデータ持ち出しです。
SSH、SCP、SFTPに依存する代わりに、このフレームワークはGSocketのユーザー空間トンネルを活用して秘匿チャネルを確立する、専用のステージングヘルパーを実装しています。
ファイル転送は、62.171.153[.]47にあるハードコードされたGSocketランデブー・エンドポイントを経由し、オペレーターが提供するトークンで認証されます。
この手法は、rsyncの標準トランスポート層をDBusベースまたはnetcat風のGSocketトンネルに置き換え、ファイアウォール制御やエンドポイント監視を回避するデータ移動を可能にします。
見かけ上のループバック宛先は意図的に誤解を誘うもので、接続はローカルのネットワークスタックに到達する前にGSocketによって横取りされ、目に見えるネットワークセッションを開かずにリモートへの持ち出しを可能にします。
緩和策
オペレーターが休眠機能の有効化を選択すると、ShadowHSはXMRig、CUDAバックエンド付きXMR-Stak、Kawpowアルゴリズムを用いるGMiner、ETCHASHを狙うlolMinerなど、複数の暗号資産マイニング・ワークフローを展開します。
マイニング処理はプールのフェイルオーバーロジックと動的に取得されるワーカー識別子を用い、204.93.253[.]180のインフラへ接続します。
ラテラルムーブメント(横展開)のために、このフレームワークはSSHサービス探索用のRustscanと、特定されたエンドポイントに対する自動ブルートフォース攻撃用のspiritをダウンロードします。
このマルウェアには、AWS認証情報、SSH鍵、GitLab、WordPressおよびBitrixのデータベース、Docker、Proxmox VM、OpenVZコンテナ、クラウドプラットフォームのメタデータサービスを標的とする認証情報窃取の休眠モジュールも含まれています。
ShadowHSはファイルレスでメモリのみで実行されるモデルであるため、従来のシグネチャベースやファイルスキャン型のセキュリティ制御では防御効果が限定的です。
有効な検知には、メモリ内実行パターンの可視化、プロセス挙動分析、カーネルレベルのテレメトリが必要です。
組織は、ランタイムアプリケーション自己防御、メモリスキャン機能、行動分析を実装し、不審なプロセス系譜や引数偽装を特定できるようにすべきです。
ShadowHSの発見は、Linuxを標的とする脅威が、場当たり的なボットネットから、企業インフラの戦略的侵害を目的とした高度なオペレーター制御フレームワークへと進化していることを浮き彫りにしています。
高度な回避技術、包括的なセキュリティ認識、選択的な機能有効化の組み合わせは、即時の影響よりも長期的な永続化に最適化された成熟した侵害後プラットフォームであることを示しています。
侵害指標(IOCs)
| 指標 | 指標タイプ | 説明 |
|---|---|---|
| 91.92.242[.]200 | IPv4 | 主要ペイロードのステージング用インフラ |
| 62.171.153[.]47 | IPv4 | 持ち出しおよび侵害後オペレーションのためのオペレーター管理リレー |
| 20c1819c2fb886375d9504b0e7e5debb87ec9d1a53073b1f3f36dd6a6ac3f427 | SHA-256 | 主要な難読化シェルローダースクリプト |
| 9f2cfc65b480695aa2fd847db901e6b1135b5ed982d9942c61b629243d6830dd | SHA-256 | カスタムの武器化hackshellペイロード |
| 148f199591b9a696197ec72f8edb0cf4f90c5dcad0805cfab4a660f65bf27ef3 | SHA-256 | RustScanポートスキャナー |
| 574a17028b28fdf860e23754d16ede622e4e27bac11d33dbf5c39db501dfccdc | SHA-256 | spirit-x86_64.tgzアーカイブ |
| 3f014aa3e339d33760934f180915045daf922ca8ae07531c8e716608e683d92d | SHA-256 | spirit/-bash(UPXパック済みバイナリ) |
| 847846a0f0c76cf5699342a066378774f1101d2fb74850e3731dc9b74e12a69d | SHA-256 | spirit/-bash(アンパック済みGolangバイナリ) |
| 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 | SHA-256 | gpu1/screenマイナーラッパー |
| e11bcba19ac628ae1d0b56e43646ae1b5da2ccc1da5162e6719d4b7d68d37096 | SHA-256 | gpu1/lol minerコンポーネント |
| 0bb7d4d8a9c8f6b3622d07ae9892aa34dc2d0171209e2829d7d39d5024fd79ef | SHA-256 | xmr/xmrigremove.sh |
| 9fdaf64180b7d02b399d2a92f1cdd062af2e6584852ea597c50194b62cca3c0b | SHA-256 | gpustak/-bashバイナリ |
| b3ee445675fce1fccf365a7b681b316124b1a5f0a7e87042136e91776b187f39 | SHA-256 | gpustak/libxmrstak_cuda_backend.so CUDAバックエンド |
| 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 | SHA-256 | gpustak/screenマイナーラッパー |
| 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 | SHA-256 | gpuecho/screenマイナーラッパー |
| 3ba88f92a87c0bb01b13754190c36d8af7cd047f738ebb3d6f975960fe7614d6 | SHA-256 | gpuecho/lol minerコンポーネント |
| 5a6b08d42cc8296b32034b132bab18d201a48c1628df3200e869722506dd4ec6 | SHA-256 | gpu/screenマイナーラッパー |
| e11bcba19ac628ae1d0b56e43646ae1b5da2ccc1da5162e6719d4b7d68d37096 | SHA-256 | gpu/lol minerコンポーネント |
| 4069eaadc94efb5be43b768c47d526e4c080b7d35b4c9e7eeb63b8dcf0038d7d | SHA-256 | ex/dirtycredz.x86_64 認証情報悪用ツール |
| 72023e9829b0de93cf9f057858cac1bcd4a0499b018fb81406e08cd3053ae55b | SHA-256 | ex/payload.so 共有オブジェクトペイロード |
| 662d4e58e95b7b27eb961f3d81d299af961892c74bc7a1f2bb7a8f2442030d0e | SHA-256 | ex/overlay ヘルパーコンポーネント |
| e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 | SHA-256 | ex/GCONV_PATH=./lol 空のプレースホルダーファイル |
| c679b408275f9624602702f5601954f3b51efbb1acc505950ee88175854e783f | SHA-256 | ex/payload.c ペイロードのソースコード |
| 666122c39b2fd4499678105420e21b938f0f62defdbc85275e14156ae69539d6 | SHA-256 | ex/blast 悪用ユーティリティ |
| 8007b94d367b7dbacaac4c1da0305b489f0f3f7a38770dcdb68d5824fe33d041 | SHA-256 | ex/dp Dirty Pipeエクスプロイト |
| 072e08b38a18a00d75b139a5bbb18ac4aa891f4fd013b55bfd3d6747e1ba0a27 | SHA-256 | ex/ubu 権限昇格ヘルパー |
| 6c50fcf14af7f984a152016498bf4096dd1f71e9d35000301b8319bd50f7f6d0 | SHA-256 | ex/cve-2025-21756 エクスプロイトバイナリ |
| 04a072481ebda2aa8f9e0dac371847f210199a503bf31950d796901d5dbe9d58 | SHA-256 | ex/traitor-x86_64 権限昇格ツール |
| 19df5436972b330910f7cb9856ef5fb17320f50b6ced68a76faecddcafa7dcd7 | SHA-256 | ex/autoroot.sh 自動root昇格スクリプト |
| 7fbab71fcc454401f6c3db91ed0afb0027266d5681c23900894f1002ceca389a | SHA-256 | ex/dirtypipe.x86_64 Dirty Pipeエクスプロイト亜種 |
| e5a6deec56095d0ae702655ea2899c752f4a0735f9077605d933a04d45cd7e24 | SHA-256 | ex/dirtypagetable.x86_64 カーネル悪用ツール |
| 7361c6861fdb08cab819b13bf2327bc82eebdd70651c7de1aed18515c1700d97 | SHA-256 | ex/lol/gconv-modules GCONVベースの悪用コンポーネント |
翻訳元: https://gbhackers.com/fileless-linux-malware/
