新たなLinuxマルウェアサンプルがSysUpdateファミリーと関連付けられる
LevelBlueの研究者が最近、APT27/Iron Tigerによって使用されているSysUpdateマルウェアファミリーに関連する新しいLinuxマルウェアサンプルを発見しました。この新たな変種は、システムサービスとして動作し、特定の引数が指定されていない場合にGNU/Linuxのidコマンドを実行します。
詳細な調査により、このサンプルはパッケージ化されたELF64バイナリであり、動的にリンクされ、セクションヘッダーが存在せず、C++で書かれていることが判明しました。さらに、未知のオブフューズドパッカーを使用しているため、従来の静的解析を困難にしています。
マルウェアの通信方法
このマルウェアは、複数のプロトコルを通じて暗号化されたトラフィックでC2サーバーと通信します。そのため、アナリストたちはカスタム暗号ロジックを逆解析し、克服するための努力を行いました。
DFIR調査による進展
LevelBlueの研究者は、システムコール追跡やネットワークソケット監視、メモリ領域内の不規則な定数とビット操作を含む静的解析を使用して、暗号化に関連するルーチンを見つけることができました。
カスタム暗号ロジックの逆解析
研究者はUnicornエンジンを使用し、Rustバインディングを通じてマルウェア自身のコードをエミュレートすることで、未知の暗号アルゴリズムを完全に再実装することなく、C2メッセージを復号するためのツールを開発しました。
この手法により、攻撃者の独自ルーチンを安全な環境で駆動させることで、その秘密を明らかにすることができます。これによって、組織は高度な脅威に対抗するために逆解析とバイナリエミュレーションを使用する重要性が強調されました。
今後の展開
この手法は再利用可能であり、将来的にSysUpdateの変種から関連コードフラグメントや暗号テーブル、実行時キーを抽出できる場合、同じエミュレーションフレームワークを新しいサンプルに適応させることができます。