Kaspersky Labはこのほど、「XZ backdoor behavior inside OpenSSH|Securelist」において、圧縮ツールおよびライブラリの「xz」から発見されたバックドアの最新の分析結果を伝えた。xzのサプライチェーン攻撃の詳細は「xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ | TECH+(テックプラス)」から確認可能。

  • XZ backdoor behavior inside OpenSSH|Securelist

    XZ backdoor behavior inside OpenSSH|Securelist

バックドアの機能

Kaspersky Labの分析により、xz(sshd)に混入されたバックドアには次の機能が存在することが確認された。

  • クライアントがRSA証明書をSSH認証に使用した場合、RSAの係数データ構造から攻撃者のコマンドを抽出し、攻撃者のアクセスを識別する
  • バックドアの機械語の一部にはステガノグラフィー技術を悪用してED448の公開鍵が埋め込まれており、実行時に抽出およびゼロを鍵とするChaCha20を使用して復号化される
  • RSAから抽出される攻撃者のコマンドはChaCha20を使用して暗号化されており、先に復号化された公開鍵の先頭32バイトを鍵として復号化される
  • コマンドには「sshサーバ本来の公開鍵」とコマンド本体の電子署名が含まれている。バックドアは公開鍵を使用して電子署名を検証し、第3者によるハイジャックとリプレイ攻撃を防止する
  • 攻撃者による不正アクセスのログを隠蔽する
  • 認証なしで攻撃者のログインを可能にする
  • リモートコード実行(RCE: Remote Code Execution)機能の提供
  • コマンドの復元と署名の検証手順 - 引用:Securelist

    コマンドの復元と署名の検証手順  引用:Securelist

結論

バックドアの分析からステガノグラフィー技術を悪用した公開鍵の隠蔽や、署名によるハイジャックおよびリプレイ防止機能が確認された。これらは攻撃者に高度なセキュリティ関連技術があることを示している。また、長期にわたるソーシャルエンジニアリング攻撃を実施する計画性と能力から、高度に訓練されたサイバー犯罪グループの関与が疑われている。

このようなバックドアが日常的に広く使われるツールから発見されたことは脅威であり、同様のサプライチェーン攻撃が続くのではないかと懸念されている。そのため、すべてのユーザーには継続的なセキュリティ情報の収集および防衛策の実施が望まれている。