概要
VoidLinkは、クラシックなカーネルモジュールとeBPFを組み合わせてプロセスやネットワーク活動を隠す新しいLinuxルートキットファミリーです。このルートキットは、CentOS 7からUbuntu 22.04までの幅広いディストリビューションを標的としています。
VoidLinkの特徴
VoidLinkは、クラウドネイティブマルウェアフレームワークの一部であり、モジュール式コマンド&コントロールプラットフォームで構成されています。このフレームワークには30以上のプラグインが含まれており、ルートキットコンポーネントはvlstealthまたは偽のAMDドライバーamdmemencryptとして提供されます。
技術的詳細
Elastic Security Labsによると、VoidLinkは高度なLinuxマルウェアフレームワークで、ロード可能なカーネルモジュールとeBPFを組み合わせて持続性を維持します。Check Pointは、このルートキットがTRAE統合開発環境(IDE)を使用してAI支援のワークフローを通じてほぼ完全に開発されたことを示す強力な証拠を提示しました。
Stealth機能
VoidLinkは、ftraceフックを利用してgetdents64, vfs_read, dos_send_sig_infoなどの重要なパスをインターセプトし、プロセスの隠蔽やファイルおよびモジュールログのクリーニングを行います。また、Netlink応答をユーザーメモリで書き換えることでssユーティリティが非表示のTCPポートを見ることができないようにします。
コマンドチャネル
VoidLinkはICMPエコーリクエストに乗った隠れたコマンドチャネルを使用して制御されます。特殊なpingパケットはNetfilterフックによってキャプチャされ、シングルバイトXORキーでデコードされてhide PID, hide port, grant root, self-destructなどの命令として解釈されます。
高度な回避機能
VoidLinkの後期世代では遅延初期化と現代EDR向けにカスタマイズされたアクティブな反証拠収集ロジックが導入されています。最新の「Ultimate Stealth v5」バージョンは、モジュールをインストールする前に数秒間待機し、ftraceフックやNetfilterハンドラーをインストールします。
検出と防御
VoidLinkの高度なステルス機能にもかかわらず、システムの複数のビューをクロスチェックすることで検出可能なトレースが存在します。ps出力と/procエントリ間、ssと/proc/net/tcp間、lsmodと/sys/module間での不整合は、カーネルルートキットが可視性を操作していることを示す可能性があります。
推奨防御策
- セキュアブートと署名モジュールの強制
- モジュールロードsyscallに対する監査ログのモニタリング
- eBPF機能の制限またはオフにすること
- VoidLinkがハックできない信頼できる環境からの整合性チェックを実行する