はじめに:新マルウェアフレームワーク「VoidLink」の登場
セキュリティ企業Check Pointの研究者により、高度なクラウドネイティブLinuxマルウェアフレームワーク「VoidLink」が発見されました。このマルウェアは、Zig、Go、C言語で記述されており、カスタムローダー、インプラント、ルートキット、プラグインを特徴としています。現代のクラウドインフラストラクチャに特化して設計されており、活発な開発が続けられているプロジェクトであると見られています。
VoidLinkの概要と特徴
VoidLinkは、特にクラウド環境を標的としています。最大の特徴の一つは、KubernetesやDocker環境での実行を検知し、それに応じて動作を調整する能力です。現在のところ、実際の感染は確認されていませんが、これはVoidLinkが製品として提供されているか、特定の顧客向けに開発されたフレームワークである可能性を示唆しています。インターフェースのロケールや最適化から、中国人開発者によって開発・保守されていると考えられています。
高度な機能:環境適応と情報収集
VoidLinkは、侵害されたマシンを隠密に制御し、プラグインで機能を拡張し、特定のクラウドやコンテナ環境に適応するモジュール式のポストエクスプロイトフレームワークです。インプラントが起動すると、DockerやKubernetesでの実行をチェックするだけでなく、AWS、GCP、Azure、Alibaba、Tencentなどのクラウドプロバイダーのインスタンスメタデータを照会します。将来的にはHuawei、DigitalOcean、Vultrへの対応も計画されています。
このフレームワークは、以下のシステム詳細を収集します:
- カーネルバージョン
- ハイパーバイザー
- プロセス
- ネットワーク状態
- EDR(Endpoint Detection and Response)
- カーネルの強化設定
- 監視ツール
収集されたすべての情報と、インストールされているセキュリティソリューションおよび強化策に基づいて計算されたリスクスコアは、オペレーターに送信されます。これにより、オペレーターはポートスキャンの速度やビーコン間隔の延長など、モジュールの動作を調整できます。
巧妙なプラグインと通信メカニズム
VoidLinkは、HTTP、WebSocket、DNSトンネリング、ICMPといった複数のプロトコルを使用してオペレーターと通信します。この通信は「VoidStream」と呼ばれるカスタムの暗号化メッセージングレイヤーでラップされており、通常のウェブトラフィックやAPIアクティビティを装ってトラフィックを偽装します。
VoidLinkのプラグインは、直接メモリにロードされるELFオブジェクトファイルで、フレームワークAPIをsyscall経由で呼び出します。Check Pointの分析によると、現在のVoidLinkバージョンではデフォルト設定で35のプラグインが使用されています。これらには以下の機能が含まれます:
- 偵察(システム、ユーザー、プロセス、ネットワーク)
- クラウドおよびコンテナの列挙とエスケープヘルパー
- 認証情報収集(SSHキー、Git認証情報、トークン、APIキー、ブラウザデータ)
- ラテラルムーブメント(シェル、ポートフォワーディング、トンネリング、SSHベースの伝播)
- 永続化メカニズム(ダイナミックリンカーの悪用、cronジョブ、システムサービス)
- フォレンジック対策(ログ消去、履歴クリーニング、タイムスタンプ改ざん)
ステルス性と対分析技術
これらの操作が検出されないようにするため、VoidLinkはプロセス、ファイル、ネットワークソケット、またはルートキット自体を隠蔽するルートキットモジュールを使用します。ホストのカーネルバージョンに応じて、LD_PRELOAD(古いバージョン)、LKM(ロード可能なカーネルモジュール)、またはeBPFベースのルートキットを適用します。
さらに、VoidLinkは環境内のデバッガーを検出し、ランタイムコード暗号化を使用し、フックや改ざんを検出するための整合性チェックを実行するなど、高度な対分析メカニズムを備えています。改ざんが検出された場合、インプラントは自己削除し、フォレンジック対策モジュールがログ、シェル履歴、ログイン記録を消去し、ホストにドロップされたすべてのファイルを安全に上書きすることで、フォレンジック調査への露出を最小限に抑えます。
Check Pointの研究者は、VoidLinkが標的環境を徹底的にプロファイリングし、最適な戦略を選択することで「可能な限り回避を自動化することを目指している」と述べています。彼らは、この新しいフレームワークが「典型的なLinuxマルウェアよりもはるかに高度」であり、「高い技術的専門知識」と複数のプログラミング言語に非常に熟練した開発者の成果であると指摘しています。
専門家の見解と今後の展望
研究者らは「膨大な数の機能とモジュール式のアーキテクチャは、作成者が洗練された、現代的で機能豊富なフレームワークを作成しようとしたことを示している」と述べています。Check Pointは、報告書で侵害の痕跡(IoC)やモジュールの技術的詳細、発見されたプラグインのリストを提供しています。この高度なマルウェアフレームワークの登場は、クラウド環境におけるセキュリティ対策の重要性を改めて浮き彫りにしています。