AhnLabはこのほど、「Reptile Malware Targeting Linux Systems - ASEC BLOG」において、Linuxを標的とするマルウェア「Reptile」の構造と特徴の分析結果を公開するとともに、韓国企業を標的とした攻撃について伝えた。
-
Reptile Malware Targeting Linux Systems - ASEC BLOG
AhnLabによるとマルウェアReptileはLinuxを対象としたカーネルモジュールルートキットでGitHubで公開されている。Reptileは自身のカーネルモジュールおよび、ファイル、ディレクトリ、ファイルの内容、プロセス、ネットワークトラフィックを隠蔽する機能がある。ほかにも、リバースシェルの提供やユーザーにroot権限を与える機能も持つ。こうした機能を使い、侵入したLinuxシステム上でroot権限の取得、Reptileのインストールと永続化、リバースシェルの提供、Reptileのファイル・通信・プロセスの隠蔽を行う。
ReptileはGitHub上で公開されているオープンソースのマルウェアである。このため、時間経過とともにさまざまな攻撃者に用いられてきたとされ、AhnLabは過去数年間、多数のReptileがVirusTotal(オンラインでマルウェアの検査を行うWebサイト)にアップロードされていると指摘している。
AhnLabは攻撃実例として、韓国企業を挙げている。この事例では最初の侵入方法は不明としながらも、Reptileルートキット、リバースシェル、Cmd、起動スクリプトが含まれており、Reptileの基本的な構成が確認されたとしている。また、この事例ではISHと呼ばれるICMPを使用したリバースシェルが利用されており、TCPやHTTPなどの通信プロトコルの解析・検出を回避しようとしたと推測されている。これは、Reptileが複数のマルウェアと一体となって攻撃に活用されていることを示している。
AhnLabはこのような脅威を防ぐために、システムに脆弱な設定がないかをチェックし、システムを常に最新の状態に保つ必要があるとしている。また、システムへの侵入を防ぐことも重要であり認証情報が流出しないよう教育と対策を行うことも望まれる。
