AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (2)

ブログ「AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (1)」[1] では、攻撃者およびマルウェアが Linux サーバーを攻撃した後、ファイアウォールやセキュリティモジュールなどのセキュリティサービスを無効にして、インストールしたマルウェアを隠蔽する方式について取り上げた。

ここでは、以前のブログで取り上げたもの以外の Linux を対象とする防御回避(Defense Evasion)手法について更に紹介する。例えば、マルウェアを隠蔽する方式の中には、実行中のマルウェアが自身を削除し、管理者に気づかれないようにするケースや、初期侵入後にマルウェアがインストールされるまでのプロセスが記録された、いくつかのログファイルを削除するケースがある。このような振る舞いは攻撃者が実行することもあるが、自動化されたスクリプトを共に使用するマルウェアも存在する。参考に、攻撃者はマルウェアを実行することが目的であるため、マルウェアを実行させる前、権限を付与する際に必要な権限だけでなくすべての権限を付与することもある。

AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。

ここでは、Linux システムを対象とする攻撃者およびマルウェアが使用する、防御を回避する戦略を分類し、AhnLab EDR を活用してこのような攻撃を検知する方式をまとめる。

1. 自己削除

Linux は Windows とは違って、実行中のプロセスのファイルを削除することができる。そのため、Linux を対象とする多くのマルウェアが実行後に自身を削除し、メモリ上で動作しながら同時にファイル検知を回避する傾向がある。例えば、過去に Linux バージョンの Gh0st RAT 変種として知られている Nood RAT や[2]、韓国国内およびタイを対象とする APT 攻撃に使用された BlueShell マルウェアも[3] [4] すべて自身を削除してメモリ上でのみ動作していた。もちろん、それ以外にも Mirai、RotaJakiro [5](外部サイト、英語にて提供) など、様々なマルウェアが自己削除手法を使用している。

AhnLab EDR は、実行中のマルウェアが自身を削除する振る舞いを脅威として検知し、管理者が事前に認知できるようにサポートしている。

2. ログ削除

Linux では、システムで発生した主要なイベントに関するログが「/var/log/syslog」ファイルに保存される。Syslog には、カーネルやデモ、スケジューリングなどの情報が含まれているため、自身が実行したコマンドや振る舞いを隠蔽するために、攻撃者やマルウェアが Syslog のようなログファイルを削除するケースが存在する。

例えば、不適切に管理されている Docker や Redis サーバー、そして脆弱性攻撃によってインストールされるコインマイナーマルウェアである Kinsing は、以下のように初期侵入後、先に Syslog を削除するスクリプトを使用する。[6](外部サイト、英語にて提供)

この他にも、ユーザーが Bash などのシェルで入力したコマンドが保存される「.bash_history」ファイルもまた攻撃者の削除対象になることもある。例えば、Team TNT 攻撃者が使用するスクリプトは、以下のようにマルウェアが実行したコマンドが保存されたログを削除するために「.bash_history」ファイルを削除するコマンドが含まれている。参考に、Team TNT はマルウェアをインストールした不正な Docker コンテナのイメージを共有ストレージにアップロードする方式で仮想通貨を採掘する攻撃者である。

AhnLab EDR は、Syslog や Bash 履歴ファイルを削除する悪意のある振る舞いを脅威として検知し、管理者がこれを事前に認知できるようサポートしている。

3. 疑わしい権限の付与

すなわち、C&C サーバーからコマンドを受け取るまでは実質的に不正な振る舞いを実行できないが、インストール過程で疑わしい権限を付与するという特徴がある。まず、自身を「/root/.po1kitd.thumb/.po1kitd-update-k」パスにコピーして、再起動後も動作できるように Init サービスに登録するが、これを担う「/etc/init.d/po1kitd-update」スクリプトに777権限を付与する。AhnLab EDR は、このような疑わしい権限を付与する振る舞いを脅威として検知し、管理者がこれを事前に認知できるようサポートしている。

4. 結論

攻撃者は攻撃の過程で実行したコマンドやログの削除、またはインストールしたマルウェアを削除してメモリ上でのみ動作するようにするな、防御を回避する戦略を使用している。これによって管理者は疑わしいファイルの追跡や、ログを通じて攻撃者の痕跡を探すことが困難になる可能性がある。

AhnLab EDR は、防御を回避する段階で使用される疑わしい振る舞いを脅威および主な振る舞いとして検知し、管理者がこれを事前に認知できるようにサポートしている。管理者はこれにより原因の把握と適切な対応を実行することができ、攻撃にさらされた後も攻撃対象となったシステムから攻撃者の証跡資料として侵害事例の調査に必要なデータを確認することができる。

振る舞い検知
– DefenseEvasion/MDP.Remove.M11361
– DefenseEvasion/EDR.Delete.M11397
– SystemManipulation/EDR.Delete.M11458
– Execution/EDR.Chmod.M11395

振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。

The post AhnLab EDR を活用した、Linux を対象とする防御回避(Defense Evasion)手法の検知 (2) appeared first on ASECブログ.