IoT
MITRE ATT&CK TTPsに基づくIoT Linuxマルウェアの分析
本ブログエントリでは、IoT(Internet of Things: モノのインターネット)Linuxマルウェアの調査結果を報告し、特にこれらマルウェアファミリが時間と共にどのように変化してきたかを分析します。
本ブログエントリでは、IoT(Internet of Things: モノのインターネット)Linuxマルウェアの調査結果を報告し、特にこれらマルウェアファミリが時間と共にどのように変化してきたかを分析します。トレンドマイクロが観測したマルウェアについて、その機能や特徴を定義するため、MITRE ATT&CK TTPs(Tactics、Techniques、Procedures)を用いました。
本調査より、IoT Linuxマルウェアは、特にIoTボットネットを構築するものについて、継続的に進化していることが分かりました。時間とともに実装する機能の追加、または、削除が見られます。とりわけ、データ送出や水平移動(ラテラルムーブメント)の機能ではなく、局所集中型の感染を引き起こす機能の進化に力が向けられる傾向があります。
表1に、トレンドマイクロが収集したマルウェア関連データの中で、最も多く実装されている機能やテクニックの上位10個を示します。
| ATT&CK Tactic | Technique (TTP) | マルウェア ファミリ数 |
| Discovery(探索) | T1083:File and Directory Discovery(ファイルとディレクトリの探索) | 10 |
| Command and Control(コマンド・コントロール) | T1071.001:Application Layer Protocol: Web Protocols(アプリケーション層プロトコル: Webプロトコル) | 9 |
| Initial Access(初期アクセス) | T1133:External Remote Services (外部リモートサービス) | 8 |
| Execution(実行) | T1059.004:Command and Scripting Interpreter: Unix Shell(コマンド・スクリプトインタプリタ: Unixシェル) | 7 |
|---|---|---|
| Impact(影響) | T1498.001:Network Denial of Service: Direct Network Flood(サービス拒否・直接フラッド攻撃) | |
| Credential Access(認証情報アクセス) | T1110.001:Brute Force Password Guessing(ブルートフォースパスワード推定) | 6 |
| Discovery(探索) | T1057:Process Discovery(プロセス探索) | |
| Execution(実行) | T1106:Native API(ネイティブAPI) | 5 |
| Impact(影響) | T1486:Data Encrypted for Impact(データ暗号化) | |
| Defense Evasion(防御回避) | T1070.004:Indicator Removal on Host: File Deletion(ホスト上の痕跡隠滅: ファイル削除) | 4 |
| Lateral Movement(水平移動・内部活動) | T1210:Exploitation of Remote Services(リモートサービス不正使用) | |
| Persistence(永続化) | T1053.003:Scheduled Task/Job: Cron(タスク・ジョブスケジュール: Cron) |
■ 分析手法
本エントリで報告する結果は、IoT Linuxマルウェアの機能の特性を明らかにするために、MITRE ATT&CKフレームワークを活用しました。ATT&CKフレームワークを利用することで、脅威を構造的且つ個々の実装に依存しない形でマルウェアの機能を比較することができました。機能の抽出は静的分析と動的分析の双方で行い、それらの結果をATT&CK TTPsにマッピングしました。
今回使用した分析手法は、下記4ステップで構成されます。
- マルウェア採取:2019年1月から2021年8月にかけて見つかったマルウェアの検体を収集した。
- マルウェア解析:静的解析(Ghidra, IDA Pro)と動的解析(strace, ltrace, GDB)双方を使用してマルウェアの機能を抽出した。初期アクセスの経路、水平移動・内部活動、影響など、攻撃に関わる事前、事後活動も含めた全ての観点を含めて、個々のマルウェアサンプルを分析した。
- マッピング:抽出したマルウェアの機能をMITRE ATT&CK TTPsにマッピングした。
- 分析:マッピングしたTTPsを分析して、今回収集したマルウェア間の差分と類似点を抽出した。
本分析で用いた4ステップの概観を図1に示します。
■ IoTボットネットに見られる新技術
調査期間中、4つの新しいテクニックが攻撃者の攻撃手法として加わったことを確認しました。その1つは、ボットネットファミリとしては新しく実装された、「T1036.005: Masquerading: Match Legitimate Name or Location(偽装: 正規の名前および場所)」と呼ばれるテクニックです。これは製造業者がIoT機器のセキュリティ強化に向けた関心と努力を再考するであろう、防御回避(Defense Evasion)の技術です。攻撃者はこのテクニックを行使することで、不正な実行ファイルの名前や場所を、正規の信頼済プログラムと同じものに偽装し、検知されるのを防ごうとします。
他の新しいテクニックとして、2020年半ばに発見されたマルウェアに組み込まれていた「T1222.002:File and Directory Permissions Modification: Linux and Mac File and Directory Permissions Modification(ファイルとディレクトリの権限変更:LinuxおよびMacのファイル・ディレクトリの権限変更)」があります。これは、IoT Linuxマルウェアで広範に用いられる「T1070.004:Indicator Removal on Host: File Deletion(ホスト上の痕跡隠滅: ファイル削除)」から派生したものになります。これら新しいテクニックの追加は、特にマルウェア「Dark Nexus」において観測されました。殆どのプラットフォームでは、ファイルおよびディレクトリが持つアクセス制御リスト(ACLs)の不正な変更に悪用されうる2つの基本コマンド、chown(所有者変更)とchmod(アクセス権限変更)が提供されています。
さらに、2021年に発見されたマルウェアファミリとして、Go言語で書かれた「StealthWorker GO」の亜種があり、これにより「T1053.003:Scheduled Task/Job: Cron(タスク・ジョブスケジュール: Cron)」テクニックの追加を確認しました。これは実行(Execution)戦術として、マルウェアがシステム内で永続的に存在することを狙ったものです。本ソフトウェアユーティリティでは、攻撃者に時間に応じてコマンドを実行させることで、システム内での永続化を実現します。
■ 使われなくなったテクニック
一方、水平移動・内部活動(Lateral Movement)戦術に関する3つのテクニックが使われなくなったことも確認しました。最近発見したマルウェアファミリでは、感染拡散の担い役をC&Cサーバ側に戻す傾向があります。例えばDark Nexusファミリでは、C&Cサーバ側がマルウェアの拡散を主導していることを確認しました。解析結果からは、特に、水平移動・內部活動(Lateral Movement)の戦術に繋がる2つのテクニック「T1021:Remote Services(リモートサービス)」と「T1210:Exploitation of Remote Services(リモートサービスの不正使用)」が使われなくなったことが明確になりました。これに付随し、ネットワーク情報の探索テクニックである「T1016:System Network Configuration Discovery(システムネットワーク設定探索)」も、積極的には利用されなくなりました。
■ 通常は使われない技術
また、IoT Linuxマルウェアの作成者は、情報窃取には興味を持っていないことが分かりました。情報漏えいの典型戦術であるデータ収集(Collection)や抽出(Exfiltration)等を実装したものは、今回収集したマルウェアの中でただ1種のみ(QSnatch)でした。加えて、権限昇格(Privilege Escalation)も、IoTマルウェア作成者の興味の対象外であることが分かりました。これは恐らく、マルウェア作成者の視点に立てば、わざわざ高い権限を要求するマルウェアを作成する必要がないためと考えられます。通常、IoTマルウェアの攻撃対象であるデバイスのデフォルトアカウントにはプログラムの実行やファイルシステムへの書き込み、新規接続の確立に必要な権限が既に付与されているからです。
■ ランサムウェアとボットネットマルウェアの違い
ATT&CKマトリクスの特徴分類により、IoT機器を標的とするマルウェアの中でも種別が異なるもの同士を比較することが可能です。今回使用した調査情報のランサムウェアとボットネットのファミリがそうした比較対象に該当します。
まず、両マルウェア種別に共通で使用されるテクニックのいくつかが明確になりました。例えば、認証情報アクセス(Credential Access)戦術の「T1110.001:Brute Force: Password Guessing(ブルートフォース:パスワード推定)」は、両マルウェア種別で最もよく使用される技術です。この結果は、IoT機器がデフォルトのユーザ名とパスワードのまま頻繁に使用されることを考えると、驚くことではありません。多くの場合、ユーザは、IoT機器をインターネットに晒すリスクに気づいてはいません。実際、多くの機器は初期認証情報のまま、あるいはリモートアクセスの安全を確保しないままインストールされています。
共通している機能として、他にも初期アクセス(Initial Access)戦術の「T1133:External Remote Services(外部リモートサービス)」があります。これはTelnetやSSHなど安全が確保されていない、またはインターネットに晒されているサービスを探るものです。これにより、攻撃者は外部向けサービスを不正使用しての初期アクセス、またさらに、ネットワーク内での永続化を図ります。この際、認証が不要な外部サービスが頻繁に利用されます。
他の類似点として、両種別ともコマンド・コントロール(Command and Control)戦術の実装に、「T1071.001:Application Layer Protocol: Web Protocols(アプリケーション層プロトコル:Webプロトコル)」を用いる点が挙げられます。これは恐らく、サービスとしてのマルウェア(malware-as-a-service)市場が成長しているためです。このことから、簡単なユーザインターフェースを通じて「顧客」あるいは他の攻撃者がマルウェアを操作できることが重視されていることが分かります。
各マルウェアファミリに実装されたTTPsの数を比較し、傾向の差異を調査しました。この結果、ランサムウェアでは異なるファミリ間でも同じテクニックが使用されるのに対し、ボットネットでは多様なサービスを不正使用する目的から、それぞれ独自の路線を取り、多くの異なるTTPsが実装される傾向にあります。理由として、ボットネットを検知する性能の方が向上しているため、それを回避するためにより頻繁な改修が必要になっている可能性が考えられます。これらの比較データを図2に示します。
■ 結論
インターネットに接続された機器の増加に従い、そうした露出に伴う脅威も増大します。IoT機器を標的とするマルウェアの進化を知ることは、有効な対処法や防御策を確立する上での根幹となります。
トレンドマイクロはIoTマルウェアが年数をかけて徐々に進化する様子を見てきました。特にボットネットは攻撃者の振る舞いだけでなく、IoT機器に組み込まれた防御策にも対抗して機能の追加や削除が行われる、変遷の激しい領域です。MITRE ATT&CKフレームワークは、今日見つかるさまざまな脅威における特徴の分類や、テクニックをリスト化する際の標準的な方法として有用です。よく使用されるTTPsへの意識と理解が、企業または個人ユーザによる機器やネットワークの保護に繋がることは、想像に難くないでしょう。例えば、今回の分析からは、接続された全機器のパスワードを初期状態から変更することの重要性が示されます。また、機器のセキュリティを高める上で、企業や組織、さらに個人ユーザは下記ステップを実施することを推奨します。
・脆弱性について把握、管理し、パッチを可能な限り早く適用してください。パッチをリリース直後に適用することで、潜在的な攻撃による被害の可能性を低減できます。
・セキュアな設定を使用してください。セキュアなデバイス設定は、セキュリティ侵害やリモート攻撃の可能性を軽減します。
・初期パスワードの変更だけでなく、推定困難で強力なパスワードを使用してください。初期パスワード変更にとどまらず、強力なパスワード、そして可能なら二要素認証を用いることで、ブルートフォース攻撃を効果的に阻止できます。
参考記事:
• 「The Evolution of IoT Linux Malware Based on MITRE ATT&CK TTPs」
By: Veronica Chierzi
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)