AhnLab SEcurity intelligence Center(ASEC)は、過去に「韓国国内とタイを対象とする APT 攻撃に使用された BlueShell マルウェア」[1] のブログで、タイと韓国国内の Linux システムを対象とした攻撃に使用された BlueShell マルウェアを取り上げた。攻撃者は、バックドアマルウェアである BlueShell をカスタマイズして攻撃に使用し、特定のシステムでのみ動作するよう条件を設定した。
ブログが掲載された後も、同じ攻撃者が制作した BlueShell マルウェアが VirusTotal を通じて継続的に収集されている。攻撃対象をチェックする条件として Linux システムのホスト名を確認するが、その情報単独では攻撃対象を特定することが困難であり、マルウェアだけでは初期侵入方式のような関連情報は確認することができない。しかし、id コマンドに偽装した新たなドロッパーマルウェアが確認され、さらなるマルウェアおよび C&C サーバーが確認されたことにより、ここでは過去のブログで取り上げた BlueShell マルウェアと共に、追加で収集されたマルウェアを解析して整理する。
1. BlueShell
BlueShell は Go 言語で開発されたマルウェアで Github に公開されており、Windows、Linux、Mac OS をサポートしている。説明が記載されている ReadMe ファイルが中国語であることが特徴だが、これは制作者が中国語話者である可能性を示している。BlueShell は韓国国内を対象とする攻撃に使用され続けており、過去のブログでは Dalbit 攻撃グループや未知の攻撃者たちによる事例を扱った。バックドアマルウェアとして C&C サーバーからコマンドを受け取り、攻撃者の悪意を持ったコマンドを実行することが可能であり、これによって BlueShell がインストールされたシステムは攻撃者に操作権限を奪われてしまう。
機能面で見るとシンプルな形態の BlueShell は、C&C サーバーとの通信に TLS 暗号化をサポートし、ネットワーク検知を回避する。攻撃者のコマンドを受け取り、実行が可能な機能には遠隔コマンド実行、ファイルのダウンロード/アップロード、Socks5 プロキシがある。
BlueShell は3つの設定データを持っており、C&C サーバーの IP アドレス、Port 番号、そして待機時間である。一般的に設定データはマルウェア制作時にバイナリにハードコーディングされて保存され、その後 init() 関数で初期化のプロセスを経て使用される。
2. 攻撃に使用された BlueShell の解析
2.1. カスタマイズされた BlueShell
攻撃に使用されたカスタマイズされた BlueShell バックドアは、一般的な BlueShell とは異なり、内部のバイナリに C&C アドレスのような設定データを含んでいない。代わりに、実行時に渡された環境変数を読み込み Base64 に復号化して設定データを取得する。これまでに確認された環境変数の名前は「lgdt」と「wtim」である。
環境変数を復号化すると、以下の表のように4つの引数が順番に存在する。4番目の引数は動作条件を意味するが、もし引数が4つの場合は Linux システムのホスト名を取得し、4番目の引数で受け取った文字列と比較して、一致しない場合は終了する。すなわち、カスタマイズされた BlueShell だけでは C&C アドレスや攻撃対象のシステムに関する情報を確認できず、これを実行するドロッパーに設定情報が含まれている。
| 引数 | 説明 |
|---|---|
| #1 | C&C サーバーアドレス |
| #2 | C&C サーバーポート番号 |
| #3 | 待機時間 |
| #4 | ホスト名条件 |
2.2. BlueShell ドロッパーマルウェア
ドロッパーは、実行過程で内部の .data セクションに暗号化された形態で保存された BlueShell を 0x63 キーで Xor して復号化する。復号化されたデータは圧縮形態であり、これを解凍して「/tmp/.ICECache」等のパスに生成する。
その後、ドロッパーは生成した BlueShell を実行して削除するが、これにより BlueShell はメモリ上でのみ動作する。参考に、単純に実行させるだけの形態ではなく、引数で従来のパスの代わりに「/usr/libexec/rpciod」文字列を伝達し、プロセス照会コマンドで正常なプロセスと類似した偽装プロセス名が確認されるようにする。
この他にも、実行前に設定データが含まれた環境変数を同時に伝達するが、上述した BlueShell バックドアがこれを復号化して C&C サーバーアドレス、および動作条件として使用する。
2.3. 上位のドロッパーマルウェア
今回確認されたタイプは、上記2つのマルウェアだけでなく、ドロッパーを生成するまた別の上位ドロッパーも共に確認された。上位ドロッパーマルウェアは「id」という名前で収集され、その名前のように Linux の「id」コマンドを偽装するとともに、BlueShell ドロッパー、そして最終的に BlueShell バックドアマルウェアをインストールする。具体的な状況は確認されていないが、攻撃者は持続性を維持するために「id」コマンドが位置するバイナリをマルウェアに変更し、そのコマンドが実行されるたびにマルウェアが継続的に実行されるようにしたものと推定される。
このマルウェアは、実行時にまず自身を読み込みんでメモリに保存した後、自己削除する。その後、現在実行中のプロセスと同じ名前でファイルを書き込んで実行するが、これは上述した BlueShell ドロッパーマルウェアである。参考に、マルウェアは BlueShell の偽装名である「/usr/libexec/rpciod」プロセスが現在実行中かどうかをチェックし、該当しない場合にのみ動作する。自己削除に失敗した場合には、「/tmp/.X15-lock」パスにマルウェアをインストールする。
その後、再度生成したファイルを削除し、今度は「id」コマンドを担当する実行ファイルを再び同じ名前で生成して実行する。上位ドロッパーは上述した BlueShell ドロッパーとは異なり、バイナリを暗号化せずに持っていることが特徴である。
結果的に、実際の「id」コマンドの結果が出力され、これによってユーザーは正常に「id」コマンドを使用したと認知する。ここまでのプロセスが終了すると、「id」ファイルも削除してメモリに保存した既存ファイルを再び同じパスに書き込む。
このマルウェアが「/bin/id」のような正常なパスに位置しているならば、システムの他のプロセスやユーザーが「id」コマンドを使用するたびに正常なコマンド実行結果を出力すると同時に、BlueShell が実行されることになる。
3. 確認されたマルウェアの分類
ここでは、これまでに確認された BlueShell マルウェアを整理する。攻撃者は、少なくとも7回にわたりマルウェアを制作して攻撃に使用しており、実質的にはほとんど類似したものである。VirusTotal で当該マルウェアをアップロードした国を見ると、攻撃対象になったと推定される国のほとんどが大韓民国であり、少なくとも2022年頃から2023年まで攻撃が続いたと見られる。
| 攻撃日 | 名前およびパス (Dropper / BlueShell) |
国 | 環境変数 | 偽装プロセス | ソースコード情報 |
|---|---|---|---|---|---|
| 2022-09-01 (Upload) | orbds /tmp/.ICECache |
TH | lgdt | /usr/sbin/cron -f | /home/User/Desktop/client/main.go |
| 2022-12-09 | – | KR | lgdt | – | /home/User/Desktop/20221209/client/main.go |
| 2023-02-02 | rpcd /tmp/kthread |
KR | lgdt | /sbin/rpcd | /home/User/Desktop/20230202/client/main.go |
| 2023-02-16 | – | KR | wtim | – | /home/User/Desktop/20230216/client/main.go |
| 2023-03-15 | sssd_pam.log | KR | wtim | – | /home/User/Desktop/QX20230315/client/main.go |
| 2023-11-14 (Upload) | orbds /tmp/.ICECache |
BR | lgdt | /usr/lib/systemd/systemd-udevd | /home/User/Desktop/client/main.go |
| 2023-12-21 (Upload) | id /tmp/.ICECache |
KR | lgdt | /usr/libexec/rpciod | /home/User/Desktop/client/main.go |
参考に、Go 言語で開発された BlueShell のバイナリにはソースコードのパス情報が共に含まれている。ここには攻撃者の作業パスも表示されるが、いくつかのタイプの場合、ディレクトリ名を日付で指定していた。上記表ではこれをもとに攻撃日を分類しており、当該情報が存在しない場合は収集日を基準とした。
4. 結論
最近、韓国国内の Linux システムを対象とした継続的な攻撃が確認されている。具体的な状況は不明だが、攻撃者が自ら制作した BlueShell マルウェアが使用されていることが特徴である。BlueShell はバックドアマルウェアとしてシステムにインストールされると攻撃者のコマンドを受け取り、様々な不正な振る舞いを行うことができる。すなわち、BlueShell がインストールされたということは感染システムの操作権限が攻撃者に奪われたということを意味する。
このようなセキュリティ脅威を防止するためには、脆弱な環境設定をチェックし、関連システムを常に最新バージョンにアップデートして攻撃から保護しなければならない。また、V3 を最新バージョンにアップデートしてマルウェア感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Trojan/Linux.BlueShell.XE216 (2023.02.20.03)
– Trojan/Linux.Agent (2023.08.26.00)
– Dropper/Linux.BlueShell.2904696 (2023.09.04.02)
– Dropper/Linux.BlueShell.2888120 (2023.09.04.02)
– Dropper/Linux.BlueShell.2904376 (2024.02.05.02)
– Dropper/Linux.BlueShell.2978160 (2024.02.05.02)
IoC
MD5
– 3f022d65129238c2d34e41deba3e24d3 : BlueShell Dropper (orbds) – 2022-09-01
– 30fe6a0ba1d77e05a19d87fcf99e7ca5 : BlueShell Backdoor (/tmp/.ICECache) – 2022-09-01
– 985000d076e7720660ab8435639d5ad5 : BlueShell Backdoor – 2022-12-09
– 2ed0a868520c31e27e69a0ab1a4e690d : BlueShell Dropper (rpcd) – 2023-02-02
– 425c761a125b7cb674887121312bd16c : BlueShell Backdoor (/tmp/kthread) – 2023-02-02
– d66b4b2bbe8e8cf98a5209fafa4fcb36 : BlueShell Backdoor – 2023-02-16
– 68f10e37a6b84ba0fb32902f35d0bfc2 : BlueShell Backdoor (sssd_pam.log) – 2023-03-15
– a197fe59fbbc6b8be991c521f885a70c : BlueShell Dropper (orbds) – 2023-11-14
– a27dcd68061e7bb78b149e528c66b063 : BlueShell Backdoor (/tmp/.ICECache) – 2023-11-14
– 86270bf40274cd3086baf215dcf5a145 : id Dropper (id) 2023-12-21
– 9f90d39a8dccfccd0bdfec9c7b4b7082 : BlueShell Dropper (id) – 2023-12-21
– b492233b1043ae9d899a130ac3fd06bb : BlueShell Backdoor (/tmp/.ICECache) – 2023-12-21
C&C
– 202.87.223[.]124:443
– 20.200.213[.]72:3389
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報