サイバーニュース.jp

世界のサイバーなニュースを配信

PolarEdge C2:カスタムバイナリプロトコルとカスタムTLSサーバーを用いた高度なボットネットの脅威

カテゴリ:

, , , , , , , , ,

はじめに

2025年初頭、セキュリティ研究者たちは「PolarEdge」と名付けられた洗練されたボットネットインプラントを明らかにしました。これは、独自のTLSサーバーとプロプライエタリなバイナリプロトコルを利用して、認証なしのコマンド&コントロール(C2)操作を実行します。

PolarEdgeの出現と拡散

PolarEdgeは2025年1月に初めて確認されました。Ciscoルーターを監視するハニーポットが、CVE-2023-20118を悪用する不審なトラフィックを捕捉したことがきっかけです。攻撃者は、細工されたHTTPリクエストのUser-Agentヘッダーを利用してリモートコード実行を達成し、FTPシェルスクリプト「q」をダウンロードして、未公開のインプラントを展開しました。

2月10日には、同じ脆弱性を狙った第2波の攻撃が観測され、今回はPolarEdgeバックドアをインストールするスクリプトがダウンロードされました。その後の分析により、Asus、QNAP、Synologyルーターを標的とした追加のサンプルが発見され、広範なキャンペーンが示唆されています。

アーキテクチャとサーバーモードの挙動

分析対象の主要なサンプルはQNAP NASデバイスを標的としており、SHA-256ハッシュはa3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082です。この1.6 MBのELF64バイナリはストリップされており、静的にリンクされていますが、難読化はされていません。しかし、複数のアンチ分析技術が実装されています。

引数なしで実行されると、インプラントはサーバーモードに入ります。具体的には:

  • mbedTLSベースのTLSサーバーをポート49254で起動します。
  • 毎日、ホストのフィンガープリントをC2サーバーに送信します。
  • カスタムバイナリプロトコルを介して受信コマンドを待ち受けます。

起動時、バックドアはwgetやcurlなどのユーティリティを移動または削除し、QNAP-CMS-WS CGIスクリプトの名前を変更します。これは、競合する脅威アクターからのアクセスを拒否するためと考えられます。

設定データはバイナリの最後の512バイトに存在し、3つのXOR暗号化されたセグメントに分かれています。これには、「Filter-file」パスマーカー、カスタムプロトコルトークン「fWbmufIFB」を含むTLSサーバーパラメータ、およびC2サーバーのリストが含まれます。

インプラントは、いくつかのハードコードされたマジックトークンと保存されたプロトコルトークンをチェックすることで、受信パケットを検証します。そして、HasCommandフラグがASCII 1に等しい場合、コマンドを実行し、追加のフレーミングや認証なしに生のコマンド出力を返します。

カスタムプロトコル、暗号化、およびアンチ分析

PolarEdgeのカスタムバイナリプロトコルは、.rodataセクションに埋め込まれた7つのトークンに依存しています。有効なリクエストは固定のマジック値で始まり、その後に「WbmufIFB」と一致するユニークなtoken5、2バイトのコマンド長、そしてコマンド文字列自体が続きます。最終的に、関数はset_ssl_clientを呼び出してC2にGETリクエストを送信します。サーバーがペイロードで応答した場合、それは/tmp/.qnax.shに書き込まれ、実行されます。

この設計により、インプラントバイナリを所有する認証されていない攻撃者が、侵害されたデバイス上で任意のシェルコマンドを実行できるようになります。

バックドアは、その設定とコードセクションを保護するために、1バイトのXORキー(0x11)と2つの回転暗号をセクション名に使用しています。さらに重要なことに、実行時に.init_rodataおよび.init_textセグメントを復号化するために、軽量のPRESENTブロック暗号をチェーンモードで統合し、TLS証明書、マジック値、およびコアルーチンを復元します。

フォレンジック分析を妨害するため、バックドアは正規のプロセス(例:igmpproxy、dhcpd)になりすまし、自身の/proc/<pid>ディレクトリを再マウントしようとし、親ディレクトリが削除された場合にインプラントを再起動するウォッチドッグ子プロセスを使用します。

その他の動作モード

サーバーモード以外にも、PolarEdgeは以下のモードをサポートしています。

  • コネクトバックモード:コマンドラインパラメータで指定されたファイルをダウンロードするためのTLSクライアントとして機能します。
  • デバッグモード:暗号化されたアドレスとフィルターファイルの存在が提供された場合、C2リストをオンザフライで更新します。

これらの補助機能により、研究者たちは通信を制御されたサーバーにリダイレクトして分析することができました。

結論と防御策

PolarEdgeの詳細なリバースエンジニアリングは、カスタムTLSサーバーと認証されていないバイナリプロトコルを中心に構築された、高度にモジュール化され回避性の高いバックドアであることを明らかにしています。その多層的な暗号化は設定とコードを保護し、アンチ分析対策と柔軟な動作モードはその洗練度を際立たせています。

IoTおよびNASデバイスが魅力的な標的であり続ける中、防御側は高ポートでの異常なTLSサービスを監視し、コアユーティリティの整合性チェックを実施して、このようなインプラントを検出する必要があります。

元記事: https://gbhackers.com/polaredge-c2-communication/

投稿をさらに読み込む