2022年3月1日 / 最終更新日 : 2022年3月1日 Kazuo_Komoriya ほぼこもセキュリティニュース

バケツリレーするDaxin

ほぼこもセキュリティニュース By Terilogy Worx

Daxinはバックドアです。
高いステルス能力が実装されており、長期の潜伏に向いた機能が搭載されています。
こんな感じです。

  • DaxinはWindowsカーネルドライバーとして実装されている
    この形式で実装されているマルウェアは多くありません。
  • 通信を開始しない
    このマルウェアは感染すると外部と通信します。
    しかしマルウェア自身は通信を開始しません。
    感染環境で開始される通常の通信をハイジャックし、それをそのまま使用して外部と通信します。
    このため、不審な通信の開始という条件でこのマルウェアを検出することは困難です。
  • 中継できる
    C2サーバと通信できるマルウェアは多くあります。
    横展開できるマルウェアも多くあります。
    しかしこのマルウェアは中継機能を持っています。
    外部とつながった内部の感染端末があれば、それを経由してさらに奥深くに対しトンネルをリレーできます。
    中継は多段で動作させることができます。
  • トンネルの多段構成を実現するコマンドがある
    複数のホップを利用して活動するマルウェアはほかにも観測されています。
    しかしこれまでのものは、攻撃者が1段階ずつ段階的に侵入行為を操作していく形式のものが確認されています。
    このDaxinは異なります。
    複数の経路を繋いで実現する多段トンネルを構成する状態にするためのコマンドが実装されています。
    攻撃者は多段接続を簡単に実現することができます。
  • 通信内容を取り出せる
    感染先で送受信されている通信内容をカプセル化し、それを外部に送り出すことができます。
    この送り出しに際してはこのマルウェアが持つ中継の機能を使うことができますので、バケツリレーの要領で直接は到達できないネットワーク構成でも取り出すことができる可能性があります。
  • 侵入者向け機能も当然搭載している
    任意のファイルの読み取りや書き込み、任意のプロセスの開始が可能です。

この脅威も他の脅威と同様、小さなほころびから始まります。
なんらかの原因でPsExecを実行できる状態となってしまい、このDaxinの展開が開始されています。

ほころびが放置されることのないように活動していくことが重要だといえそうです。

参考記事(外部リンク):Daxin: Stealthy Backdoor Designed for Attacks Against
Hardened Networks
symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage

カテゴリー
ほぼこもセキュリティニュース
脅威インテリジェンス

前の記事

サプライチェーン攻撃:ソフトウェアサプライチェーンを攻撃から守るための6つのステップ
2022年2月28日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

煙幕に使われるランサムウェア
2022年3月2日