FontOnLake

FontOnLakeというLinux環境向けマルウェアが観測されています。
これは、バックドアおよびルートキットコンポーネントを含みます。

このマルウェアには厳しい面がいくつかあります。

• 非標準の通信ポート番号を使ってC2と通信する
  外向けに正しいアクセス制御を実施していない場合、これらのマルウェアは自由に活動できることでしょう。
• 3つの種類のバックドアが含まれる
  このマルウェアには3種のバックドアが含まれます。
  あるバックドアが利用できない場合、別のバックドアが使われるような動きをします。
  感染先で機能できるものが利用されるということになります。
• どこででも存在するコマンドを置き換える
  cat、kill、sftp、sshd、を置き換えます。いずれもどこにでもあって、誰でも利用するツールです。
  これらのコマンドを利用する前に、これらのコマンドが正規のものであるかを毎回注意して確認してから利用する人はいるでしょうか。

3つのバックドアはそれぞれ機能が異なりますが、共通して実装されている機能があります。

• sshdクレデンシャルを盗み、C2に転送する
• bashコマンド履歴を盗み、C2に転送する
• カスタムハートビートコマンドを使用して、制御サーバーへの接続を維持する

非標準の通信ポートを使って通信するとありますが、通常はそのようなことを実施すると、発見される可能性が高まります。
このマルウェアではそれを回避するため、ルートキットを含んでいます。
ルートキットの効能は次の通りです。

• マルウェアのプロセスを隠す
• マルウェアの使用するファイルを隠す
• マルウェアそのものを隠す
• ネットワーク接続を隠す

kernelレベルで隠されてしまうためルートキットが有効な状態ではマルウェアの存在を認識することはできません。
このルートキット部分はSuterusuと呼ばれる8年前のオープンソースルートキットプロジェクトをもとに実装されています。

怖い内容だと感じます。
感染してしまった後に、なんとかできるとは思えません。
やはり感染が起こらないように継続的に日々あるべき運用を進めていくことが必要に感じます。

参考記事（外部リンク）：FontOnLake malware infects Linux systems via trojanized
utilities
www.bleepingcomputer.com/news/security/fontonlake-malware-infects-linux-systems-via-trojanized-utilities/