Mélofée
Méloféeはマルウェアです。
Linuxがターゲットになっているマルウェアです。
どんなものなのでしょうか。
- Méloféeはマルウェアのセット
インストーラとルートキットとインプラントのセットという構成になっています。 - インストーラ
インストーラはC++で開発されていてバイナリファイルを引数で受け取って動作します。
インストーラはルートキットとインプラントを設置します。 - ルートキット
ルートキットはカーネルモジュールとして実装されていて、ファイルとして配置された後カーネルに読み込まれます。
このルートキットは大きな機能のセットになったものではなく、限定された機能のみが実装されています。
特定のファイルが存在していることがわからなくするためのファイル操作のための関数のフックの機能と、カーネルとユーザランドで通信を行うための関数のフックとが実装されています。 - インプラント
インプラントは実行時に永続化のための活動を行おうとします。
インプラントを実行するユーザの権限によって永続化される方法が変化します。
管理権限があるユーザの場合は/etcのなかで永続化が実施され、管理権限がないユーザの場合はそのユーザのドットファイルで永続化を実施します。
インプラントはいわばバックドアです。
Méloféeは継続的に変更されており、その機能は追加されてきています。
当初からファイルの読み書き機能などは実装されていましたが、その後シェルの起動機能や双方向ソケットの作成機能などが追加されてきています。
バックドアとしての機能が十分に実装されています。 - インプラントの行う通信
C2との通信機能も複数のプロトコルが実装されています。
通常の単なるTCPのパケットを使うもの、UDPパケットを使うもの、TLSでの暗号化通信機能も搭載されています。
感染環境で外部との通信に利用できるものを選択することができるように、ということなのでしょうか。
Méloféeの新しいバージョンでは、iptablesの設定をマルウェアの都合のよいように変更する機能まで実装されています。
このマルウェアは現時点では感染事例はあまり多くは観測されていません。
特定の条件を満たすターゲットのみが狙われているために実際の感染数が少なくて観測数が少ないのか、ルートキットの効能などによって検出されにくいために観測数が増えていないのかは不明です。
しかし、インプラント部分は次々に追加開発されてきています。
マルウェアは継続的に拡張されていきます。
参考記事(外部リンク):Mélofée: a new alien malware in the Panda’s toolset
targeting Linux hosts
blog.exatrack.com/melofee/
