ASEC(AhnLab SEcurity intelligence Center)では、最近 Linux バージョンの Gh0st RAT 変種マルウェアである Nood RAT が攻撃に使用されていることを確認した。Windows バージョンの Gh0st RAT に比べると少ない数ではあるが、Linux バージョンの Gh0st RAT もまた、収集され続けている。Nood RAT は過去、コードの類似性をベースに Gh0st RAT 変種として分類された。[1](英語にて提供) 最近、このマルウェアの製作に使用されるビルダーが確認され、製作者が Nood という名前を使用したため、ここでは Nood RAT として分類する。
Nood RAT は、2018年頃から様々な脆弱性攻撃プロセスで使用されてきた。最近は具体的な攻撃事例が確認されなかったものの、VirusTotal 基準、収集され続けている。ここでは、最近の数年間にわたって確認されたマルウェアを整理し、ビルダーとともにに解析する。
1. 概要
Gh0st RAT は中国の C.Rufus Security Team で開発した遠隔操作マルウェアである。[2](韓国語にて提供) ソースコードが公開されているため、マルウェアの開発者たちがこれを参考にし、様々な変種を開発しており、最近までも持続的に攻撃に使用されている。ソースコードが公開されていが、主に中国語を使う攻撃者が使用しているという点が特徴である。
ASEC では、過去に Gh0st RAT の変種である Gh0stCringe RAT マルウェアがデータベースサーバー(MS-SQL、MySQL サーバー)を対象に配布された事例を公開したことがあり、[3] その後も Hidden ルートキットを共ににインストールする Gh0st RAT 変種の HiddenGh0st が不適切に管理されている MS-SQL サーバーを対象とした攻撃に使用された事例を紹介した。[4]
ソースコードが公開されているため、すでに様々な Linux バージョンが存在する可能性もあるが、ここで紹介するタイプの Nood RAT は、2018年頃に初めて確認された。最も古い記録は、WebLogic 脆弱性(CVE-2017-10271)攻撃を通してインストールされた事例であり、[5](英語にて提供) その後にはコインマイナーをインストールする Rocke 攻撃者が攻撃に共にに使用した事例がある。[6](英語にて提供) 2020年には、Cloud Snooper APT 攻撃キャンペーンでも使用された履歴が確認されるが、攻撃者は Amazon 社のクラウドサービスである AWS 内のサーバーを対象にバックドアマルウェアをインストールして制御権を窃取した。[7](英語にて提供)
2. Gh0st RAT の Linux バージョンの解析
Nood RAT は、以下のようなビルダーによって製作される。圧縮ファイルの内部には、リリースノートとビルダーブログラムの「NoodMaker.exe」、そしてバックドアの制御に使用する「Nood.exe」が存在する。NoodMaker は製作時、アーキテクチャ別に x86 および x64 バイナリを生成し、攻撃対象のシステムに適したバイナリを選択して使用することができる。
Nood RAT には、正常なプログラムに偽装するため、自身の名前を変更する機能が存在する。偽装するプロセスの名前は、マルウェアの製作プロセスで選択することができる。最初に実行されると、RC4 アルゴリズムを利用して暗号化されたデータを復号化するが、このプロセスで復号化された文字列が変更するプロセスの名前である。それ以外にも、設定データも同じく RC4 アルゴリズムで暗号化されており、復号化に使用される RC4 キーは「r0st@#$」文字列である。Socks プロキシおよびポートフォワーディング通信では「VMware#@!Station」文字列が代わりに使用される。
プロセス名を変更した後には、自身を「/tmp/CCCCCCCC」パスにコピーして実行するが、ここまでのプロセスが終わると、コピーしたファイル、すなわち「/tmp/CCCCCCCC」を削除する。そのため、現在実行中のマルウェアは、「/tmp/CCCCCCCC」ファイルが実行された形態だが、ファイルが存在しなくなり、マルウェアのプロセス名も偽装した正常なプロセスに見えるようになる。
その後、設定データを復号化するが、設定データは大きく C&C サーバーアドレスと有効化の日付および時間、そして C&C 接続試みの間隔で分けられる。C&C サーバーと通信しながらコマンドを受け取ることができる有効化の日付は、曜日ごとに決めることができ、有効化の時間もまた、指定可能だ。
- 設定データの形式:“C&C_Server_1″;”C&C_Server_2″|”Mon”;”Tue”;”Wed”;”Thu”;”Fri”;”Sat”;”Sun”;|”Time”;|”Interval”
Gh0st RAT は、最初に C&C サーバーに接続する時、感染システムに対する基本的な情報を獲得して送信する。送信するデータは RC4 アルゴリズムで暗号化し、暗号化に使用されたキーも現在時間基準で生成するため、ネットワークパケットベースの検知を回避することができる。
| Offset | Size | Data |
|---|---|---|
| 0x0000 | 0x0018 | “Key Type 2”(Key Type 1で暗号化) |
| 0x0018 | 0x0004 | “Key Type 1” |
| 0x001C | 0x0208 | 感染システム情報(Key Type 2で暗号化) |
C&C サーバーに伝達する最初の0x18サイズのデータは、以下のような形態でハードコーディングされた4バイト値2つと現在時間を基準として生成した4バイト値4つで構成されている。この値は、RC4 アルゴリズムで暗号化されて C&C サーバーに伝達されるが、この暗号化に使用するキーは「Key Type 1」で名付けたキーを活用して製作する。
| Offset | Size | Data |
|---|---|---|
| 0x00 | 0x04 | 生成した4バイトキー #1 |
| 0x04 | 0x04 | 生成した4バイトキー #2 |
| 0x08 | 0x04 | 生成した4バイトキー #3 |
| 0x0C | 0x04 | 0x00009F72 |
| 0x10 | 0x04 | 生成した4バイトキー #4 |
| 0x14 | 0x04 | 0x000002E9 |
C&C サーバーでは、「Key Type 1」を利用して RC4 キーを製作し、「Key Type 2」を復号化することができ、復号化された「Key Type 2」を利用して製作した RC4 キーで0x0208サイズのデータを復号化し、最終的に感染システムの情報を獲得することができる。
| Offset | Type | Data |
|---|---|---|
| 0x0000 | String | ログインバナー文字列(「/etc/issue.net」または「/etc/issue」ファイルの内容) |
| 0x0100 | Flag | ログインバナー文字列情報の獲得有無(0x01/0x00) |
| 0x0101 | Flag | アーキテクチャ。「/proc/version」で x86_64 キーワードの存在有無(0x01/0x00) |
| 0x0102 | String | ホスト名 |
| 0x0202 | Flag | ホスト名の獲得有無(0x01/0x00) |
| 0x0203 | Hex | IP アドレスの16進数値 |
| 0x0207 | Flag | IP アドレスの獲得有無(0x01/0x00) |
Nood RAT は、遠隔シェルおよびファイル管理、Socks プロキシ、ポートフォワーディングという大きく、4種類の機能をサポートする。これによって攻撃者は、感染システムにて悪意のあるコマンドを実行したり、ファイルのアップロードおよびダウンロード機能を利用して情報を窃取することができる。また、感染システムをプロキシで使用したり、ポートフォワーディング機能を通してラテラルムーブメントのプロセスで該当のシステムを活用することもできる。
3. 攻撃事例
Nood RAT を使用した攻撃事例としては過去、WebLogic 脆弱性攻撃事例と Cloud Snooper APT 攻撃事例が存在した。その後、最近までも Nood RAT マルウェアが収集され続けており、VirusTotal にもアップロードされている。具体的な攻撃方式は確認されなかったものの、様々な攻撃者が感染システムを制御し、情報を窃取する目的で使用しているものと推定される。以下は、最近の数年間にわたって確認された Nood RAT を分類した表である。
| 収集日 | 国 | 名前 | 偽装プロセス | 設定データ |
|---|---|---|---|---|
| 240130 | KR | AliDunYun | /usr/bin/ssh | 43.156.118[.]72:443;43.156.118.72:443;| 1;1;1;1;1;1;1;|00-24;|1 |
| 240116 | HK | pki.rar | /usr/bin/ssh | b.niupilao[.]vip:80;|1;1;1;1;1;1;1;|00-24;|1 |
| 231028 | PH | x.uu | [kworker/0:0] | update.kworker[.]net:443;check.snapupdate[.]org:80;| 1;1;1;1;1;1;1;|00-24;|1 |
| 231027 | CN | nginx | /usr/bin/ssh | 42.51.40[.]184:56;|1;1;1;1;1;1;1;|00-24;|1 |
| 230907 | RU | MFWzS4YNXpQd | [kworker/2:0] | 13.214.222[.]35:443;|1;1;1;1;1;1;1;|00-24;|1 |
| 221013 | HK | hsperf | kworker | cloud.awsxtd[.]com:443;|1;1;1;1;1;1;1;|00-24;|3 |
| 220911 | RU | adyagent | /usr/bin/ssh | 43.140.251[.]218:8080;|1;1;1;1;1;1;1;|00-24;|1 |
| 220726 | CN | update | /usr/bin/ssh | 101.42.139[.]110:8443;101.42.139[.]110:53;| 1;1;1;1;1;1;1;|00-24;|1 |
| 220113 | CN | update | /usr/bin/ssh | 81.68.143[.]132:1234;81.68.143[.]132:8080;| 1;1;1;1;1;1;1;|00-24;|1 |
| 211213 | VN | bo | /usr/bin/ssh | bo.appleupcheck[.]com:443; |1;1;1;1;1;1;1;|00-24;|1 |
| 210921 | PK | N/A | /usr/sbin/xfs_srv | 194.36.191[.]75:443;|1;1;1;1;1;1;1;|00-24;|1 |
| 210601 | CN | titan.bin | /usr/bin/ssh | 1.117.165[.]141:53;1.117.165[.]141:53;| 1;1;1;1;1;1;1;|00-24;|1 |
| 210403 | CN | N/A | /sbin/auditd | 23.100.88[.]61:53;|1;1;1;1;1;1;1;|00-24;|10 |
4. 結論
Gh0st RAT は、Windows システムを対象として活発に使用されているマルウェアだが、公開されたソースコードベースで製作された Linux バージョンの Gh0st RAT もまた、様々な攻撃者によって持続的に使用されてきた。Gh0st RAT 変種の内、製作者が Nood という名付けた Linux バージョンのマルウェアは、最近までも様々な国で収集されている。
Nood RAT は、C&C サーバーからコマンドを受け取り、不正なファイルのダウンロード、システム内部ファイルの窃取、コマンド実行などの機能を実行できるバックドアマルウェアである。簡単な形態だが、ネットワークパケット検知を回避するため、暗号化を使用しており、攻撃者のコマンドを受けて様々な不正な振る舞いを実行することができる。
このようなセキュリティ脅威を防止するためには、脆弱な環境設定や認証情報をチェックし、関連システムを常に最新バージョンにアップデートして攻撃から保護する必要がある。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前にブロックできるように注意を払わなければならない。
ファイル検知
– Linux/Agent.86208 (2029.01.08.00)
– Backdoor/Linux.Rekoobe.86144 (2022.06.15.00)
– Backdoor/Linux.Rekoobe.86176 (2022.06.15.00)
– Backdoor/Linux.Rekoobe.83264 (2022.06.15.00)
IoC
MD5
– 035f83018cf96f5e1f6817ccd39fc0b6
– b4910e998cf58da452f8151b71c868cb
– 4f3afdcfff8f7994b7d3d3fbaa6858b4
– a15ebd19cac42b0297858018da62b1be
– c440bd814be37fac669567131c4ba996
– 75838e5d481da40db2e235a6d5a222ef
– 905c2158fadfe31850766f010e149a0f
– 8457f71c6a5fe83bb513d1dfba99271a
– 35743db3dc333245ef5b69100721ced9
– 7d631e5b0c78805dd5d440cce788d25b
– 0a35e06f53c17ab1c8e18e7e0c0821d8
– 97db3f7676380f0baa3840ed5d5c1767
– d9f00f71efabdfcca7c63d4b0805673c
C&C
– 43.156.118[.]72:443
– b.niupilao[.]vip:80
– update.kworker[.]net:443
– check.snapupdate[.]org:80
– 42.51.40[.]184:56
– 13.214.222[.]35:443
– cloud.awsxtd[.]com:443
– 43.140.251[.]218:8080
– 101.42.139[.]110:8443
– 101.42.139[.]110:53
– 81.68.143[.]132:1234
– 81.68.143[.]132:8080
– bo.appleupcheck[.]com:443
– 194.36.191[.]75:443
– 1.117.165[.]141:53
– 23.100.88[.]61:53
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報