BellaCiaoとIPアドレス文字列

ほぼこもセキュリティニュース By Terilogy Worx

BellaCiaoはマルウェアの開発者の使用する名前であり、またその開発者の作成したマルウェアの名前でもあります。
このマルウェアはいろいろな手口で感染を進めていくのですが、そのなかでも特に特徴的な動作部分を持っていることがわかりました。
どんな動作をするのでしょうか。

  • 動作中にDNSで名前解決をする
    感染場所毎に固有の文字列が持たされます。
    そしてその固有の文字列をBellaCiaoのなかにハードコードされたドメイン名のサブドメインとなるように連結し、感染場所のための固有のドメイン名を作成します。
    そしてその出来上がったドメイン名の名前解決を実行します。
    接続先はDNSサーバとなっていますので、戻されるのはIPアドレスを示す文字列です。

     

  • 戻ってきたIPアドレスを解釈する
    通常、DNSは通信する宛先のドメイン名をIPアドレスに変換するために使用します。そしてそこで入手したIPアドレスに対して通信を実施します。
    しかしBellaCiaoでは異なります。
    DNS応答を受信したBellaCiaoは、元々マルウェアの中に保持されているIPアドレス文字列と、DNS解決で得られたIPアドレス文字列とを比較します。
    そして2つのIPアドレス文字列のなかの部分文字列がどのような関係性なのかを判定し、その結果をコマンドとして動作します。
    例えば、マルウェアの中に保持されているIPアドレス文字列の第4オクテットとDNS解決で得られたIPアドレス文字列の第4オクテットが同一ならば、webshellをデプロイする手順を実施しろ、というコマンドとなる、といった具合です。

これらの機構を組み合わせて使用することで、攻撃者は侵害環境にあわせて個別にコマンドを出すことができる状態になります。

ネットワークの通信の動作の様子を見ている限りは通常のDNSによる名前解決がなされているようにしか見えません。
動作そのものは単にDNSを使用しているだけですので怪しさがありません、この意味では怪しいと判定することは容易ではなさそうです。
もちろんこの場合でも、DNSの名前解決の頻度を判定する、とか、DNSサーバのIPアドレスやドメイン名の評判情報を活用するなどの動作そのものを見るものではない方法を組み合わせて使用することで怪しいと判定することはできるかもしれません。

マルウェア開発者側の工夫は巧妙さを増してきています。
防御側も新しい武器が必要になってきているということかもしれません。

2023/4/28からほぼこもセキュリティニュースはお休みです。
次の更新は2023/5/8以降です。

参考記事(外部リンク):Unpacking BellaCiao: A Closer Look at Iran’s Latest
Malware

businessinsights.bitdefender.com/unpacking-bellaciao-a-closer-look-at-irans-latest-malware