VoidLinkは、従来のカーネルモジュールとeBPFを組み合わせて、最新のクラウド環境内でプロセスとネットワークアクティビティを隠すLinuxルートキットの新しいファミリーです。
CentOS 7からUbuntu 22.04までのディストリビューションをターゲットとし、攻撃者に広範なカーネルバージョン全体で保持する静かな方法を提供します。
VoidLinkは、2026年初頭に最初に露出したより広いクラウドネイティブマルウェアフレームワークの一部であり、30以上のプラグインを備えたモジュール型のコマンド&コントロールプラットフォームとして構築されています。
ルートキットコンポーネントは、vlstealth またはフェイクAMDドライバamdmemencryptという名前のロード可能なカーネルモジュール(LKM)として提供され、ネットワーク非表示用の付属eBPFプログラムによって支持されています。
Elastic Security Labsは、伝統的なロード可能なカーネルモジュールをeBPFと組み合わせて永続性を維持する洗練されたLinuxマルウェアフレームワークVoidLinkを分析しています。
Check Pointは、VoidLinkがTRAE統合開発環境(IDE)を使用したAI支援ワークフローによってほぼ完全に開発されたという説得力のある証拠を提示しました。
漏洩した開発ダンプから復旧されたコードとビルドアーティファクトは、このカーネルの複数世代を示しており、Linux サーバー上での長時間実行される実世界のテストを示唆しています。
ハイブリッドLKM–eBPFステルス
VoidLinkは、LKMが深いカーネルフックを処理し、eBPFコードが最新のツールからの隠蔽に焦点を当てるハイブリッドアーキテクチャで目立っています。
モジュールはftrace フックを使用して、getdents64、vfs_read、dos_send_sig_infoなどのキーパスをインターセプトし、プロセス非表示、ファイルおよびモジュールログのスクラビング、および選択したPIDの強制終了に対する保護を有効にします。
同時に、付属するeBPFプログラムはsys_recvmsg をフックし、ユーザーメモリ内のNetlink応答を書き直し、ss ユーティリティが隠しTCPポートを決して見ないようにします。ただし、netstat出力も従来のカーネルフックを通じてフィルタリングされます。
ルートキットの制御は、リッスンソケットの代わりにICMP echo requests に乗じた秘密のコマンドチャネルを通じて処理されます。
マジックID(デフォルト0xC0DE)でタグ付けされた特別に作成されたpingパケットは、Netfilterフックによってインターセプトされ、シングルバイトのXORキーで復号化され、PIDを隠す、ポートを隠す、ルートを付与する、または自己破壊などのコマンドとして解釈されます。
オペレーターは実行時にICMPマジックとXORキーの両方をローテーションでき、静的ネットワークシグネチャを脆弱にし、ディフェンダーはエコー応答の欠落などの行動異常に依存することを余儀なくされます。
高度な回避機能
後のVoidLinkジェネレーションは遅延初期化と最新のEDRに合わせた積極的なアンチフォレンジクスロジックを導入しています。
最新の「Ultimate Stealth v5」バリアントは、モジュール読み込み後、ftrace フック、Netfilterハンドラーをインストールし、モジュールリストから自身を削除するまで数秒待機し、insmodまたはmodprobeイベントの直後にのみスキャンするツールを回避します。
繰り返しのカーネルタイマーは、strace、gdb、bpftool、およびrootkit スキャナーなどのデバッグおよび分析ツールをスキャンし、フォレンジック活動が検出されたときにオペレーターが非表示を一時停止または自己破壊をトリガーすることを可能にします。
その高度さにもかかわらず、VoidLinkは、ディフェンダーがシステムの複数のビューをクロスチェックした場合、検出可能なトレースを残します。
ps出力と/procエントリー間、ss と/proc/net/tcp間、またはlsmodと/sys/module間の矛盾は、カーネルルートキットが可視性を改ざんしていることを示す可能性があります。
推奨される防御は、Secure Bootと署名付きモジュールの実施、モジュール読み込みシステムコールの監査ログの監視、不要なeBPF機能の制限またはオフの切り替え、およびVoidLinkがフックできない信頼できる環境からの整合性チェックの実行を含みます。
翻訳元: https://gbhackers.com/voidlink-rootkit/
