クラウド運用におけるLinuxバイナリの進化

エグゼクティブ サマリー

Unit 42の研究者は、クラウド セキュリティに対する脅威が増大していることを明らかにしました。脅威アクターは、クラウド インフラストラクチャをターゲットに Linux Executable and Linkage Format (ELF)ファイルを開発しています。クラウド環境を標的とする脅威アクターによって、より複雑なツールが悪用され始めることが予測されています。これには、これまでLinuxオペレーティング システム(OS)のみを対象としていた既存のツールのリワーク、改良、調整も含まれます。脅威アクターが使用するELFマルウェアのサンプルには、バックドア、ドロッパー、リモートアクセス型トロイの木馬(RAT)、データ ワイパー、脆弱性を悪用するバイナリなどが含まれます。

今回の調査では、5つのELFベースのマルウェア ファミリーに焦点を当てました。これらのマルウェアは、脅威アクター グループがその作戦においてクラウド環境を標的にする際に使用したものです。これには、クラウド環境を標的とした悪意のある操作や、これらのELFバイナリを使用したクラウド インフラの直接的な悪用が含まれます。これらの活動は、攻撃者がクラウド インフラに対してELFバイナリを使い続けることを示唆するものです。

各ファミリーを分析したところ、過去1年以内に少なくとも2回の重要なコード更新があることが分かりました。これは脅威アクターが積極的にマルウェアを更新し、サポートしているということを意味します。さらに、それぞれのマルウェアの系統は、昨年1年間に実際の現場で確認されたサンプルのうち、少なくとも20件はユニークなものでした。これは脅威アクターによって積極的に利用されていることを意味します。

これらのマルウェア ファミリーは、インフラを含むクラウド環境を標的とした攻撃で今後使用される可能性が高いと弊社では考えられています。

パロアルトネットワークスのお客様は、Cortex Cloudをご利用いただくことで、本記事で取り上げる脅威から組織をより確実に保護することができます。

情報漏えいの可能性がある場合、または喫緊の事態の場合は、Unit 42インシデントレスポンス チームまでご連絡ください。

背景

弊社が公開したクラウド脅威レポートによると、クラウドベースの警告は2024年の間に平均388％増加しました。さらに、45％の組織が高度持続的脅威(APT)攻撃の増加を報告しています。脅威アクターがクラウド インフラストラクチャを標的にする割合が増加していることから、防御側には、クラウド脅威アクターがアクセス、永続化、運用に使用する可能性のある攻撃ベクトルを探し出すことが求められています。脅威ハンターは、クラウド エンドポイントに対して使用可能な悪意のある実行ファイルを調査することで利益を得ています。

この記事では、脅威アクターがLinuxベースの環境に対する攻撃に使用するために開発している悪意のあるバイナリの種類を探ります。ELFファイルは、Linuxオペレーティング システム(OS)内の実行可能ファイルの一般的な標準ファイル形式です。脅威研究者らは、クラウド環境内の全計算インスタンスの70％から90％は、Linux OSの亜種(フレーバーとも呼ばれる)をベースにしていると推定しています。ELFベースのマルウェアは目新しいものではありませんが、こうしたマルウェア ファミリーや攻撃手法の種類は、クラウド インフラを標的とする方向に進化していくものと考えられます。

進化するELFバイナリ

一般的に知られているLinuxマルウェアファミリーは、クラウド リソースを積極的に狙うように進化する可能性があります。標準的なクラウド環境にはLinux OSインスタンスが普遍的に存在するため、攻撃者はこれらのファミリーを比較的容易にクラウド ワークロードやコンテナ環境に適応させ、デプロイすることができるためです。

弊社の研究者は、NoodleRAT、Winnti、SSHdInjector、Pygmy Goat、AcidPourを含むELFベースのマルウェアの進化した系統の例を特定しました。これらのELFバイナリは、LD_PRELOAD環境変数を悪用したダイナミック リンカー ハイジャックなどのテクニックを使用することで以下を試みるものです。

• 正規のシステムプロセスに悪意のあるコードを注入する。
• SSHデーモン(sshd)などの重要なLinuxサービスにフックする。
• コンテナ化されたインフラで発見された脆弱性や設定ミスを悪用する。

脅威アクターはこうした能力を活用することで、潜入先での持続性をはじめ、ステルス性の高いコマンド アンド コントロール(C2)チャネルを維持することで、密かにデータを窃取したり、重要データを消去することで業務に影響を与えることができるとされています。

NoodleRAT

このマルウェアは、脅威アクターが標的のエンドポイント上で以下のようなC2オペレーションを実行することを可能にするものです。

• リバースシェル経由でのアクセス
• SOCKSプロキシ トンネリング
• 通信の暗号化
• スケジュールされたコード実行
• ファイルのアップロードとダウンロード
• プロセス名のスプーフィング

NoodleRATにはWindowsの亜種とLinuxの亜種があります。Linuxの亜種はELFベースのバックドアとなるものです。Linux NoodleRATのコードは、RekoobeやTiny SHellを含む他のLinuxバックドア型マルウェアと類似しているが、NoodleRATは独自のマルウェア ファミリーと考えられています。

NoodleRATは、サイバー犯罪とサイバースパイ活動の両方で観察されており、Rockeのような中国語を話す脅威アクターやCloud Snooperキャンペーンに関連する疑いのある国家アクターによって使用されています。Linuxの亜種のNoodleRATの背後にいる脅威アクターは、タイ、インド、日本、マレーシア、台湾を含むアジア太平洋地域の複数の国の事業体を標的としています。

Winnti

WinntiにはWindowsとLinuxのそれぞれの亜種があります。このマルウェアは、LD_PRELOAD環境変数を悪用することで持続性を実現し、正規のシステム バイナリを変更することなくメモリにロードできるようにします。

バックドアには以下の機能が含まれます。

• リモートコマンド実行機能の提供
• ファイルの窃取を可能にする
• C2通信を容易にするSOCKS5プロキシをサポート

WinntiのLinuxの亜種マルウェアはバックドアとして機能し、China-nexus脅威アクターによって使用されています。これには弊社チームが追跡しているStarchy Taurus(別名: Winntiグループ、BARIUM)とNuclear Taurus(別名: Tumbleweed Typhoon、THORIUM、Bronze Vapor)が含まれます。バックドアは、プライマリELF実行ファイル(libxselinux)と追加ダイナミック ライブラリ(libxselinux.so)の2つのファイルで構成されています。

SSHdInjector

Linux SSHバックドアは、実行時に悪意のあるコードをSSHデーモン(sshd)に注入します。注入されたコードは脅威アクターに永続的なアクセス権を与えるもので、以下のような悪意のある活動の足がかりとなります。

• クレデンシャル盗難
• リモートコマンド実行
• マルウェアの侵入
• ファイルとディレクトリへのアクセス
• リモートシェルを開く
• データ窃取

SSHdInjectorは、いくつかの中China-nexusの脅威アクターによって使用されていることが確認されています。これには私たちがDigging Taurus(aka Daggerfly, Evasive Panda)として追跡しているものも含まれています。その標的にはサイバースパイ関連として、個人、政府機関、通信組織などが含まれます。

Pygmy Goat

Pygmy GoatはLinuxのバックドアです。 Sophos XGファイアウォールで発見されたLinuxバックドアであり、Linuxベースの追加システムを標的にするように設計されています。このマルウェアは、認証バイパスの脆弱性があるlibsophos.soライブラリファイルを活用することで、ルートキット機能を通じて初期アクセスと永続性を獲得します(CVE-2022-1040)。

この実行ファイルは、標的となるデバイス上のLD_PRELOAD環境変数を使用してSSHデーモン(sshd)にインジェクションし、SSH通信を傍受します。脅威アクターは、「ポートノッキング」と呼ばれる手法として、特別に細工したICMPパケットを送信することで、マルウェアとの通信を開始することができ、あるいは SSHトラフィックに埋め込んだマジック バイトを送信することで通信を行います。

その機能には以下のようなものが含まれます。

• リモートシェルの確立
• ネットワーク パケットのキャプチャ
• cronジョブの作成
• リバースSOCKS5プロキシ経由のトンネリング

標的となった組織は、報告されているものでアジア太平洋地域の政府機関やサプライヤーをはじめ、非政府組織(NGO)、ヘルスケア、運輸部門などにわたります。

Acid Pour/AcidRain

AcidRainと新しいAcidPourの亜種は、ロシアの脅威アクターRazing Ursa(別名: Sandworm、Voodoo Bear)に関連する破壊的なLinuxワイパー マルウェアの系統です。AcidRainはELFバイナリで、MIPSアーキテクチャをベースにしたモデムやルーターをターゲットにしています。

AcidPourも同様のELFバイナリだが、x86用にコンパイルされています。Linux x86ベースのストレージ アレイ、ネットワーク デバイス、産業用制御システムなど、より広範なターゲットに影響を及ぼす可能性が示唆されています。

どちらのワイパーも、データを破壊するために入出力制御(IOCTL)を使用し、防御回避のために自己削除することができます。AcidPourまたはこのバイナリの新しい亜種は、保護されていないx86ベースのクラウドシステムをワイプするのに有効とされており、これには脅威アクターが例えばWebシェルのデプロイメントやコンテナのエスケープに成功してシェル アクセスを得た場合などが該当します。

この報告書に先立つ数ヶ月の間にも、これらのマルウェア ファミリーの新たなハッシュ値が観測されました。企業がクラウドへの移行を進める中、脅威の主体はこれらのマルウェア ファミリーを開発し続け、クラウドのランタイム環境に軸足を移していくことが予測されています。これは、クラウド ワークロードとコンテナにおける検出と防止のセキュリティ機能を強化する必要性を浮き彫りにするものです。

結論

クラウド ベースのアラートは2024年中に平均388％の増加を記録しました。クラウド環境を標的とする脅威アクターが、その攻撃においてより複雑なツールを使用するようになることが予測されています。これには、これまでLinux OSシステムのみを対象としていた既存のツールのリワーク、改良、調整も含まれます。

クラウド環境の90%はLinuxコンピュート インスタンスで稼働しているとの試算もあることから、次の段階として、脅威アクターはこれらのマルウェア ファミリーをクラウド環境に対して使用することが考えられています。

クラウド コンピューティング インスタンスにエンドポイント セキュリティ エージェントを実装し、悪意のあるランタイム処理、ネットワーク トラフィック、疑わしい動作操作をすべて検出できるようにすることが、これまで以上に重要になっています。最新のクラウド エンドポイント エージェントは、これらのマルウェアファミリーを検出することが可能です。エンドポイント検出における機械学習の導入は、クラウド セキュリティにおける重要な進歩です。

パロアルトネットワークスの保護と緩和策

バイナリにフラグを立てるために、機械学習による検出アプローチを推奨しています。進化するアプローチは、次のような要素を考慮する必要があります。

• カーネル モードのシステム コール
• インポート機能
• 回避テクニック
• ネットワーク トラフィック
• 未知のバイナリー パターン

図1は、Cortex機械学習の警告のトリガーとなった未知のELFバイナリを示したものです。

ELF機械学習による検出

パロアルトネットワークのCortex Cloudでは、Linux ELFファイルの検出に特化した新しい機械学習モジュールを開発しています。Cortexの研究者は、この記事で取り上げた5つのマルウェア ファミリーすべてについて、100以上のユニークなELFバイナリを使用してテストを行いました。各マルウェア ファミリーは正常に検出され、全サンプルの92％が悪意のあるものとして正確にフラグ付けされました。

残りの8％では、使用したモデルの範囲外のLinuxの共有ライブラリ(.so)が含まれていることが判明しました。

検出されたファイルは、以下のテスト基準の範囲に当てはめられました。

• 悪性
• 疑わしい
• 良性

スコアが0.85以上のサンプルは悪性、0.84～0.65は疑わしい、0.64以下は良性と判断。

図2のとおり、検査したサンプルの61％が0.85以上の結果を示し、悪性と判断されました。

提出された全検体の92.3％が「疑わしい」とする基準値0.65を超えています。これは、提供されたサンプルの7.7％を除くすべてが疑わしいとみなされ、環境内で実行された場合に警告が発せられることを意味します。

PowerShellとVBSの機械学習による検出

また、Cortex PowerShellとVBS機械学習モジュールを使用して、クラウド特有のオペレーションにおける検出を調査しました。100以上のPowerShellとVisual Basicスクリプト(VBS)をMLモデルに与えました。その結果、これらのスクリプトは、以下の活動を行う悪意のあるスクリプトとしてフラグが立てられました。

• クラウド リソースの発見と作成
• ストレージ コンテナ オブジェクトの削除とデータ窃取
• アイデンティティ アクセス アンド マネジメント(IAM)オペレーション

図3は、これらのスクリプトの67%が悪性、または疑わしいスクリプトとして識別されたことを示しています。特筆すべきは、悪性として判断されたサンプルの96％近くが0.95以上のスコアを獲得していることです。

Cortex Cloud

防御者は、クラウド エンドポイント内で実行される一般的なELFマルウェアを脅威ハンティングすることで、貴重なインサイトを得ることができます。これは、CDR(Cloud Detection and Response)と呼ばれるクラウド セキュリティ ソリューションによって可能です。

• エンドポイントの検出と対応(EDR)機能
• クラウド エンドポイント上で実行可能なプロセスの検出と防止
• クラウド サービス プラットフォーム固有の監査・ロギング機能

パロアルトネットワークスのお客様は、以下の製品とサービスをお求めいただくことで、本記事で取り上げた脅威から組織をより確実に保護することができます。

• Cortex ELF機械学習検出モジュール
• Cortex PowerShellおよびVBS機械学習検出モジュール

情報漏えいの可能性がある場合、または緊急の案件がある場合は、以下の連絡先までご連絡ください。 Unit 42インシデント レスポンス チームまたはお電話ください。

• 北米: フリーダイヤル+1 (866) 486-4842 (866.4.unit42)
• 英国+44.20.3743.3660
• ヨーロッパおよび中東+31.20.299.3130
• アジア+65.6983.8730
• 日本+81.50.1790.0200
• オーストラリア+61.2.4062.7950
• インド: 00080005045107

パロアルトネットワークスは、この調査結果をサイバー脅威アライアンス(CTA)のメンバーと共有しました。CTAの会員は、この情報を利用して、その顧客に対して迅速に保護を提供し、悪意のあるサイバー アクターを組織的に妨害しています。サイバー脅威同盟の詳細はこちら。

その他のリソース

本調査を実施するうえで参考として以下の資料が使用されました。

• 増加するクラウドの脅威- Unit 42
• 2024年版クラウド脅威レポート- Unit 42
• AcidPour Wiperマルウェア- Splunk
• AcidPour｜ウクライナでAcidRainの埋め込み型ワイパーの新たな亜種が登場 - SentinelOne
• 国家サイバー セキュリティ センター- NCSC
• SSHdInjectorの分析 - Fortinet
• NoodleRATバックドアのレビュー - トレンドマイクロ
• RevivalStone:Winntiグループ - LACのサイバー緊急センター