見えにくいOrBit

OrBitはマルウェアの名前です。
動作環境はLinuxです。
ここのところSymbioteのようなLinux環境で動作するマルウェアの増加が確認されていますが、これもLinux向けです。

このマルウェアの作戦の方向性は共有ライブラリに関連して悪事を働くというものとなっているのですが、その作戦がこれまでのものとは違った新しいものとなっています。

• 作戦パターン1
  ローダーが使用する構成ファイルに共有オブジェクトを追加する
• 作戦パターン2
  ローダー自体のバイナリにパッチを適用して、悪意のある共有オブジェクトをロードする

これまでの共有ライブラリに関連して目的を実行するものは、共有ライブラリの置き場所を工夫するなどの手法をとるものが多くありました。
しかしOrBitは共有ライブラリを読み取る仕事をするローダーの側に注目しました。

この作戦の結果としていくつもの効能を得ることに成功しています。

• 重要ないくつかの共有ライブラリをフックできる
  Linuxにはいくつかの非常に重要な共有ライブラリがあります。
  OrBitは、libc、libcap、PAM（Pluggable Authentication Module）をフックします。
  libcは基本的なライブラリですので、多くのダイナミックリンクで動作するプロセスはlibcを動作時にロードして動作するでしょう。
  libcapはLinux ケーパビリティのためのライブラリです。
  権限処理がごっそりフックされていることを想像してみてください、危なすぎます。
  PAMはユーザ認証を実施するライブラリです。
  こんな環境で特権昇格すると、そっくりそのままアカウント情報を取得されてしまいます。
• こっそりSSH接続できる
  SSH接続に素養できるアカウント情報は盗む必要がありません。
  認証のためのライブラリはフックされていますので、攻撃者が知っているユーザ名とパスワードの組み合わせを使用するだけで認証が通過できます。
  重要なライブラリをフックできていますので、攻撃者が実施するネットワークトラフィックを侵害された機器上で確認することはできません。
  これはlibpcapをフックすることで実現しています。

ローダーを侵害するという手法の関係で永続性も手に入れることができてしまっています。
マルウェアの展開時に永続性がある状態とない状態を選択できる実装になっています。
侵害前のオリジナルのローダーは退避されていますので、攻撃者はマルウェアを削除して元の状態に戻すこともできます。

いつのまにか設置され、どこにも記録されることなく資格情報を盗み、いつのまにか元の状態に戻っている。
そんなことになっているかもしれません。

侵害対象の機器上での対策だけでは対抗することは容易ではなさそうです。
タイムリーなパッチ適用などのあるべき運用に加えて、ホストでの防御、ネットワークでの防御、などを組み合わせて総合的に防御していくことが重要だと言えそうです。

参考記事（外部リンク）：OrBit: New Undetected Linux Threat Uses Unique Hijack of
Execution Flow
www.intezer.com/blog/incident-response/orbit-new-undetected-linux-threat/