BiBi-Linux Wiper
また新たなワイパー型マルウェアが観測されています。
名前はBiBi-Linux Wiperです。
どういった内容でしょうか。
- 活動内容
破壊活動が目的です。
Linux環境の破壊を行います。 - 難読化
難読化は行われていません。
C/C++で記述されてgccでコンパイルされたx64のELF実行可能ファイルです。
パッキングやその他の保護手段も施されていません。
静的解析を実行すれば処理内容が確認できます。
それどころか実行すると標準出力に処理内容に関連する情報が次々に出力されます。 - プロセスの継続動作の機構
実行された後継続動作が可能なように、nohupコマンド経由で実行されます。
これにより、マルウェアが起動されたshellなどのプロセスが終了する場合にでも、マルウェアは終了することなく動作し続けます。
またそれと同時に、マルウェアが出力する文字列も端末に出力されるのではなく、ファイルに出力されるようになります。 - 機能
マルウェアの機能は削除です。
いろいろな手法で削除を行います。
複数のスレッドとキューを利用してファイルを同時に破損することで破壊速度を向上させる、ファイルを上書きして復元を難しくする、ランダムな文字列でファイル名を変更し元の状態がわからなくする、などの機能があります。 - C2との通信
C2への通信は行われません。
実行が開始されると破壊活動を行うのみです。
身代金も要求しません。活動開始とともに破壊活動を開始します。
BiBi-Linux Wiperは、感染と同時に問答無用で高速に破壊活動を行うものといえそうです。
ちなみに「bibi」というのはイスラエルの首相のニックネームだそうです。
ここのところ、ワイパー型マルウェアが話題になることは減っていたように感じますが、脅威アクターの周辺の情勢に影響するのかまた増えてきているのかもしれません。
参考記事(外部リンク):BiBi-Linux: A New Wiper Dropped By Pro-Hamas Hacktivist
Group
www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group
