DinodasRATのLinux版

DinodasRATはバックドア型マルウェアです。
もともとはWindows版の活動が観測されていましたが、Windows版に続いてLinux版が登場していました。
DinodasRATのLinux版はどういったものなのでしょうか。

• 攻撃対象環境
  想定の攻撃対象となるOSは、主にRedHatベースのディストリビューションとUbuntuです。

   

• 感染の動作
  何らかの手法で持ち込まれたDinodasRATのペイロードが起動されると、感染活動が開始されます。
  DinodasRATのバイナリが存在するディレクトリに隠しファイルを作成します。
  これは、感染したデバイス上で複数のインスタンスが実行されるのを防ぐミューテックスとして機能すると考えられます。
  多重起動防止の準備ができたら、永続化の実施です。
  動作環境が整ったら、自分の環境の情報を使用してC2に登録します。

   

• C2との通信
  C2との通信は暗号化されています。
  C2のアドレス情報は、マルウェアのバイナリにハードコードされています。
  C2との通信の間隔も調整します。
  状況によってはC2への通信の間隔が10時間となる場合もあります。

   

• DinodasRATの提供する機能
  バックドアとしての機能を提供します。
  ディレクトリの操作、ファイルのアップロードとダウンロード、ユーザの確認、プロセス操作、サービス操作、ファイルの実行、対話型シェルの操作、C2との通信、C2との通信の設定変更、自身のアンインストールといった具合です。
  派手な機能はありませんが、攻撃者が踏み台として利用するために必要な機能をすべて搭載しています。

このマルウェアは侵害環境の利用者情報を詳細に収集するような機能は搭載していません。
しかし、侵害環境を操作することが可能な状態を維持するのに十分な機能を搭載しています。
このマルウェアに感染すると、被害者となってしまうのではなく、加害者となってしまう、ということがいえそうです。

現時点では、このマルウェアの初期感染経路は明らかになっていません。
いろいろな脆弱性や誤設定がそのままになっている環境は多くありますので、ペイロードの持ち込みは難しくないでしょう。
想定環境のOSもインストール数の非常に多い環境です。
日々の正しい運用で乗り切っていきたいです。

参考記事（外部リンク）：DinodasRAT Linux implant targeting entities worldwide
securelist.com/dinodasrat-linux-implant/112284/