繰り上がりを待つSockDetour

SockDetourは、バックドアです。
でも基本的に出番は少ないです。
なんと、バックアッププラン用のバックドアなのです。
こんな感じです。

• TiltedTempleと呼ばれているAPTキャンペーンで使われている
• TiltedTempleは脆弱性を悪用して実施される
  CVE-2021-40539：Zoho ManageEngine ADSelfService Plusの脆弱性
  CVE-2021-44077：ServiceDesk Plusの脆弱性
• SockDetourはバックアップバックドアである
  メインのバックドアが機能しない状態となった時に使用されます。
• SockDetourは脆弱性を悪用して動作する
  QNAPのNASの脆弱性を悪用します。
  CVE-2021-28799：QNAPのリモートコード実行脆弱性
• SockDetourはファイルレス動作をする
  SockDetourはファイルレスで開始され、既存ネットワークソケット宛のネットワーク接続を乗っ取り、そのソケットを介してリモートの脅威アクターとの間で暗号化されたC2チャネルを確立します。
  利用されるその時までひっそりとしています。
  動作の仕組み上、検出は困難です。

検出が困難なファイルレスなバックドアという実装上の特性にも驚きますが、それ以上にバックアップ用のバックドアという仕組みの周到さのほうに驚きます。
このAPTキャンペーンは、メインのほうの攻撃もバックアップのほうの攻撃も脆弱性を悪用したものになっています。
これには怪しいファイルを開かないなどの人の行動に関連した対策だけでは対応できません。
タイムリーで継続的なパッチ適用の運用が必要という例となっています。

参考記事（外部リンク）：SockDetour: 米国防衛関連企業をひそかに狙うファイルレス・ソケットレスのバックドア
unit42.paloaltonetworks.jp/sockdetour/