サイバーニュース.jp

世界のサイバーなニュースを配信

BPFDoorとSymbiote:Linuxシステムを標的とする高度なeBPFベースのルートキット

カテゴリ:

eBPF:強力な機能と新たな脅威ベクトル

Extended Berkeley Packet Filter (eBPF) は、Linuxカーネルに直接サンドボックス化されたプログラムをロードし、ネットワークパケットの検査やシステムコール監視を可能にする強力な技術です。2015年に導入され、1992年のBPFアーキテクチャを近代化しましたが、これは諸刃の剣となり、前例のない可観測性を提供する一方で、洗練された攻撃者にはステルス性の高い新たな攻撃ベクトルを提供しています。

マルウェア作者はeBPFの可能性をすぐに認識し、2015年にはBvp47バックドアが登場、その後EbpfkitやTripleCrossのようなルートキットが続きました。しかし、eBPFを武器化するために必要な技術的複雑さから、このようなマルウェアは比較的稀でした。現在、脅威の状況は2021年に初めて登場した2つのファミリー、SymbioteとBPFDoorによって支配されています。

FortiGuard Labsの検出データによると、eBPFマルウェアは2025年になっても活発な脅威であり、今年だけで151の新たなBPFDoorサンプルと3つのSymbiote亜種が確認されています。これらの数は一般的なマルウェアと比較すると少ないものの、eBPFベースの脅威は洗練された攻撃者のための専門的なニッチを占めています。開発に必要な専門知識はこれらを高度な持続的脅威の領域に位置づけ、特にBPFDoorは国家支援の作戦に起因するとされています。

Symbioteの技術的進化

最近のSymbioteの亜種は、顕著な戦術的進化を示しています。2025年7月のサンプル分析によると、強化されたBPFフィルターが現在ではIPv4およびIPv6パケットをTCP、UDP、SCTPプロトコルで、以下の8つの非標準ポートで受け入れるようになっています。

  • 54778
  • 58870
  • 59666
  • 54879
  • 57987
  • 64322
  • 45677
  • 63227

これは、以前のバージョンがより少ないポートセットでTCPとSCTPトラフィックのみを受け入れていたことから、大幅な拡張を意味します。この拡張は複数の回避目的を果たします。ポートホッピングは、ブロックされたり監視されたりした場合にマルウェアがポートを切り替えることを可能にし、コネクションレスプロトコルであるUDPの包含は、従来の侵入検知システムがTCPハンドシェイク分析に最適化されているため、検出を困難にします。これらのルートキットは高ポートでのみ動作することで、よく知られたサービスポートに焦点を当てたセキュリティツールを回避します。

BPFDoorの技術的進化

BPFDoorも同様に進化しています。2022年と2025年の亜種を比較すると、特にBPFフィルターにおけるIPv6サポートという重要な強化が見られます。2025年のサンプルは、IPv4およびIPv6のDNSトラフィック(ポート53)を監視し、DNSクエリの普及をカモフラージュとして利用しています。このマルウェアは、SO_ATTACH_FILTERを介してrawソケットにBPFフィルターをアタッチし、ユーザー空間に到達する前にカーネルレベルでパケットをフィルタリングする古典的なBPFバイトコードを実装することで、検出を非常に困難にしています

リバースエンジニアリングとAI支援分析の課題

eBPFマルウェアの分析は、独自の課題を提示します。BPFは、x86やARMとは根本的に異なる、固定サイズの64ビット命令を持つ最小限の命令セットアーキテクチャを使用します。Radare2、IDA Proプラグイン、CapstoneエンジンなどのツールはBPFの逆アセンブルをサポートしていますが、バイトコードを解釈するには専門的な知識が必要です。

AIモデルは、パケットの受け入れを破棄と誤解したり、EtherType値(IPv4の場合は0x0800)をポート番号と混同したりするなど、重大な誤りを犯してきました。これらの間違いは、人間による検証の必要性を強調しています。しかし、人工知能はこのプロセスにおける貴重な支援として登場しています。Claude Sonnet 4.5を使用してBPFバイトコードを分析した研究者は、パケットフィルタリングロジックの迅速な理解を報告していますが、重要な注意点もあります。Radare2のMCPサーバー統合は、AI支援リバースエンジニアリングの可能性を示しており、大規模言語モデルは、1サンプルあたり約0.50ドルで包括的なマークダウン分析を生成します。

2022年と2025年のBPFDoor亜種の自動比較では、IPv6サポートとパケット識別メカニズムの変更が正確に特定されましたが、手動分析では確認できなかったRC4暗号化の存在を幻覚しました。

結論と防御戦略

2025年の亜種は、eBPFマルウェアの作者が検出を回避するためにツールを積極的に強化していることを確認しています。Symbioteの拡張されたポートリストとUDPサポート、BPFDoorのIPv6機能とDNSトラフィックのカモフラージュは、現代のネットワーク監視プラクティスに対する計算された対応です。これらの発展は、包括的な高ポート監視、IPv6対応検出エンジン、専門のeBPFセキュリティフレームワークを含む、防御戦略の進化を必要とします。

防御側にとっての教訓は明確です。eBPFマルウェアは過去の遺物ではなく、専用の検出機能とリバースエンジニアリングの専門知識を必要とする進化する脅威です。AIツールが分析の障壁を低くするにつれて、アルゴリズムの幻覚から事実を区別するためには、批判的思考と手動検証が不可欠であり続けます。

元記事: https://gbhackers.com/ebpf-based-rootkits/

投稿をさらに読み込む