2023年5月18日 / 最終更新日 : 2023年5月18日 Kazuo_Komoriya ほぼこもセキュリティニュース

新しいBPFDoor

ほぼこもセキュリティニュース By Terilogy Worx

BPFDoorというものがあります。
名前の中にBPFが含まれますので、Berkley Packet Filterに関連するだろうということはすぐに察しがつきます。
このBPFDoor、2022年5月に話題になりました。
当時、これまで検出されていなかっただけで5年以上前から活動していたのだ、ということで大きく話題になりました。
その後研究が進み、多くのセキュリティ対策製品で検出できるようになったものと思われます。

そのBPFDoorですが、ひそかにまた拡張が行われていることがわかってきています。
新しいBPFDoorがでてきているのです。

いまのバージョンも過去のバージョンも用途としてはバックドアを実現するマルウェアであるということは変わっていません。
しかしその実装方針が大きく変更されていることがわかりました。
どのように変化したのでしょうか。

  • 暗号化機構
    従来は暗号化機構が実装されたライブラリを利用する形式で暗号化機能を動作させていました。
    LinuxであればCrypto++ Libraryを使う、というような話です。
    このためこういったものを利用しようとする動きを確認することで、そのバイナリが暗号化機構を利用しようとしていることが検出できます。
    しかし新しいBPFDoorでは暗号化機構がマルウェアのなかに取り込まれています。
    このため新しいBPFDoorについては従来の参照しているライブラリの情報を使って怪しさを測ることができなくなっています。

     

  • 外部との通信の方式
    従来はバインドシェルの形式で外部との通信を実現していました。
    侵害したホストで特定のポート番号をリッスンしてそこに外部から接続する、という方式です。
    この方式は攻撃側として実装が容易ですが、侵害したホストが外部から到達可能な論理的状態にないと意味がないものとなってしまうという問題がある方式です。
    ファイアウォールで簡単に防げてしまうということです。
    しかし新しいBPFDoorではこの部分がリバースシェルに変更されています。
    リバースシェルは侵害したホストが自身で外部に対して接続しその接続を使って外部から操作する方式ですので、侵害したホストでポートを待ち受ける必要がありません。
    また入ってくる方向の通信を制限しているシステムは多くありますが、出る方向の通信を厳しく制限しているシステムは入ってくる方向を制限しているシステムに比較すると多くありません。
    リバースシェル方式は現時点でも使えてしまう形式といえます。

     

  • バックドアで使われるコマンド
    従来はバックドアで使われるコマンドがバックドアのマルウェアの中に書き込まれていました。
    そして特定の指示を受けたマルウェアがその仕込まれたコマンドを実行するという動作形式となっていました。
    このため、従来のBPFDoorはマルウェアを解析することでどのようなコマンドを実行する機能が搭載されているのかを知ることができるものでした。
    しかし新しいBPFDoorではコマンドはマルウェアの中にハードコードされない形式に変更されています。
    バックドアで実行するコマンドは必要に応じて都度リバースシェルから送り込まれます。
    この動作形式のため、マルウェアのバイナリを解析することによってはバックドアの実施する悪事の内容を知ることができないものとなりました。

     

  • 利用するファイル名
    マルウェアもソフトウェアですので、動作に際してなんらかのファイルを使用します。
    従来は利用するファイル名がハードコードされていました。
    マルウェアに限った話ではありませんが、利用するファイル名をハードコーディングするのはソフトウェアを書く上で簡単な選択です。
    しかし新しいBPFDoorでは利用するファイルの名称をハードコードしない方式に変更されています。

このようにいくつもの方針が変化しています。
これらの変化は新しいバージョンのマルウェアは従来のものと異なるバイナリであるということだけでなく、検出の糸口が減ったものになっているという効果を生み出しています。
マルウェアのHASHで検出しようということのみで考えると、方針の変化はあまり重要ではなく単にHASHを突合するだけでよいことになります。
しかし多くの亜種が出現するという傾向を考える場合HASHのみに検出を頼ることは現実的ではありません。
ソフトウェアのなんらかの動きやその性質をとらえることによって検出することで検出率を確保しようというのが現在有効な方向性です。

このように考える場合、この新しいBPFDoorは非常に厳しい仕上がりとなっています。
検知に使用できるインジケーターが少ないということです。

BPFDoorは侵害された環境のかなりkernelに近い位置で動作することになるということもあるため、侵害された環境で検出することは容易ではありません。
各ホストでの防御機構に加えてネットワークからのアプローチで脅威に対策していくということが重要といえそうです。

参考記事(外部リンク):BPFDoor Malware Evolves – Stealthy Sniffing Backdoor Ups Its
Game
www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

BeaconじゃなくてGeacon
2023年5月17日
イベント

次の記事

【6月8日開催ウェビナー/受付終了】ソフトウェアサプライチェーンリスク対策 : “THE STATE OF SECRETS SPRAWL 2023”
2023年5月18日