NEWS

ニュース | 最新のニュースをお届けします

ESETの「Operation Windigo」に関する論文にマルウェア作者からも称賛の声

この記事をシェア

この記事は、ESETがマルウェアやセキュリティに関する情報を掲載するサイト
We Live Security」から翻訳、日本向けの解説を加えたものです。


執筆者:Olivier Bilodeau
投稿日時:2014年10月15日 - 午後12時

攻撃活動「Operation Windigo」に関するESETの調査がVirus Bulletin 2014で高評価を獲得したことを受け、私はWindigoに関するレポートの作成に直接携わったMarc-Etienne Leveilleにいくつか質問をしました。ESETのマルウェア研究者である彼は、リバースエンジニアリング手法を用いたLinuxやOS Xを狙うマルウェアの動作解析に関心を持っており、各マルウェアがどのようにリンクし合っているのかを突き止め、攻撃の全体像を把握しようと取り組んでいます。

Linuxを狙ったクライムウェアの大規模な攻撃「Operation Windigo」の調査結果を公表してからしばらく経ちましたが、それ以降、特筆に値する大きな変化はありましたか?

私たちは引き続き、Windigoの背後に潜む攻撃者の動向を注視しています。レポートを公開したのは2014年3月のことですが、残念ながら今のところ不正活動の減少は確認されていません。測定およびブロックの対象となる、Cdorkedに感染したサイトからリダイレクトされているトラフィックの量に変化はありません。また各種のマルウェアは、侵入の痕跡(IOC)を残さないようにアップデートされています。

こうした脅威がシステム管理者にもたらす最大の課題は何ですか?

多くの当事者の方に通知していますが、Linuxのフォレンジックに関する知識の欠如がシステム管理者にとって大きな問題であると思います。Windigoは、さまざまな手法を駆使して検出を回避します。感染サーバーは通常どおりの稼働を続けるため、感染しても管理者がその事実になかなか気付かない場合があるのです。中には、マルウェアの潜伏を頑なに否定し、サーバーの感染を認めようとしないシステム管理者もいます。

ESETのリサーチチームは、この問題に対する認識を高めるためにどのような取り組みを行っていますか?

私たちは、セキュリティコミュニティーに働きかけ、サーバーがインターネットに直接接続しているサイトが、Windigoやその他のLinuxを狙う汎用のマルウェア全般から保護されるよう支援しています。そのためには、こうした脅威に最前線で立ち向かうシステム管理者やセキュリティ研究者と直接話をする機会を設けることが効果的です。ですから、DerbyConや、Yandexのチームと協力してVirus Bulletinでプレゼンテーションを実施できたのは幸いでした。

ESETは、以下のカンファレンスにおいてもプレゼンテーションを行います。

  • LinuxCon Europe、10月15日、デュッセルドルフ(ドイツ)
  • SecTor、10月22日、トロント(カナダ)
  • CSAW:Threads、11月13~14日、ニューヨーク(米国)
  • conf.au、1月16日、オークランド(ニュージーランド)

Operation WindigoやLinuxを狙うマルウェアのリバースエンジニアリング、フォレンジック、インシデントレスポンスについてもっと詳しく知りたい方は、お気軽にお問い合わせください。

Linux/Eburyの最新バージョンにはどのような変更が加えられていましたか?

Eburyマルウェアの作者は、ESETのレポートに非常にすばやい反応を見せています。公開から1か月も経たないうちに、侵入の痕跡を残さない新バージョンが確認されたほどです。以下に、特に重要な変更点をまとめておきます。

  • バージョン番号が1.5.1へと一気に跳ね上がりました(確認済みのものでは最新のバージョン番号です)。なお、2014年3月にOperation Windigoに関するレポートを公開した時点では最新バージョンは1.3.5となっていましたが、翌月にはバージョン1.4.1が初めて確認されました。
  • Eburyはもはや、窃取した認証情報の保管やプロセス間通信の維持に共有メモリーを使用しません。代わりに、新しいプロセスが開始され、LD_PRELOADを使用してEburyのペイロードが挿入されます。認証情報はこの新しいプロセスのアドレス空間に保管され、OpenSSHによるプロセス間通信(IPC)はUNIXドメインソケット経由で開始されます。
  • 認証情報を抽出する際に、バックアップとして使用されるドメイン名生成のアルゴリズム(DGA)が変更されました。運営者がドメイン名を設定していない場合は、このバックアップが使用されます。
  • バージョン1.5では、soファイルに直接感染しません。Eburyのペイロードは、ライブラリーディレクトリーのlibns2.soという名前の新しいファイルにあります。続いて、システムの元のlibkeyutils.soに対し、libc.so.6ではなく、この新しい悪意のあるライブラリーにリンクするようにパッチが適用されます。その後、Eburyのコードが読み込まれ、OpenSSHにフックを設定します。

ESETによる監視活動から収集されたこれらの新しい情報を基に、CERT-BundはEburyのIOCに関する質問のセクションをアップデートしています。

Operation Windigoに関するレポートは、マルウェア作者自身から「Good job, ESET!(ESETの皆さん、よくやった!)」と称賛されているほか、Virus Bulletinで今年から始まったPeter Szorアワードも受賞しました。その点についてはどのように受け止めていますか?

今年発表されたマルウェアに関する研究論文は力作ぞろいでしたので、他の候補者の皆様およびここ数年質の高い出版物を公開しているすべての研究者の皆様に、称賛と敬意を表したいと思います。

受賞の際には大変ありがたいお言葉をいただきましたが、1つ申し述べておきたいのは、Operation Windigoの論文の共著者および作成に携わった研究者のほとんどがアンチウイルス業界では新参者であるということです。今回のアワード受賞は、業界の皆様に認めていただいた証であるとして光栄に思うと同時に、私たちの取り組みが正しい方向に進んでいるという自信につながりました。

マルウェア作者からESETに寄せられたメッセージ
マルウェア作者からESETに寄せられたメッセージ

私たちは、新たに出現する種も含め、すべての脅威からお客様を保護することを最優先事項としています。今回のような特定の脅威の調査に深いレベルで専念できるのは研究者冥利に尽きます。質の高い研究を行うというESETの信念の下、私たちは高度な調査の実施とお客様の保護を両立できました。高く評価していただいた報道関係者、お客様、そしてVirus Bulletinの関係者の皆様に心より感謝申し上げます。

本日はどうもありがとうございました。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!