Linux環境で動作するマルウェア　DreamBot

数でみるとLinuxで動くマルウェアはWindows環境のそれに比べると多くないかもしれません。
が、そんなLinuxで動くマルウェアのなかにも、やばいものがあるようです。

DreamBotというものが観測されています。
これは基本的には暗号通貨マイナーなのですが、最近よくあるモジュール式の構造になっています。
で、TORなどを介してhttpでC&Cと通信し、各種モジュールを更新していく動作をします。

横展開の機能も豊富なようです。
参照記事の公開時点で、Zscaler ThreatLabZは、SSH、PostgreSQL、Redis、Hadoop YARN、Apache
Spark、HashiCorp Consul、およびSaltStackを介して拡散するように設計されたモジュールを観察しました。

また、このマルウェアは自身のコードを難読化したりUPXパックされたりしているのですが、そのUPXパックのUPXバイトを書き換えた状態で配布されたりするようです。
これによってそのパックされたELFバイナリが動作しなくなるようなことはないらしいのですが、こういったファイルであるためアンチウイルス製品での検出が難しくなっているようです。

C&Cとの通信に使う名前解決でも手抜かりはありません。
DNS over HTTPで名前解決するのです。

ここに記載したものは、このDreamBotの一部の機能でしかありません。
機能は盛りだくさんですし、設計はモダンです。
Windows環境のマルウェアはその場にあるものを使って活動するようになってきていますが、Linux環境のマルウェアも同じ進化の道をたどっているようです。

興味がある方は下記の記事を見てみてください。
まず最初にその記事の多さ（スクロールバーの短さ）に驚くでしょう。
そして次にそのやばい内容に驚くことになるかもしれません。

参考記事（外部リンク）：DreamBus Botnet – Technical Analysis
www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis