Backdoor.Linux.GOMIR.THEBABD

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• /etc/systemd/system/syslogd.service → If "install" parameter is used with process running under superuser privilege.
• {Malware File Path}\cron.txt → If "install" parameter is used with process not running under superuser privilege. Deletes afterwards.

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /var/log/syslogd → If "install" parameter is used with process running under superuser privilege.

マルウェアは、以下のプロセスを追加します。

• $SHELL -c systemctl daemon-reload → If "install" parameter is used with process running under superuser privilege.
• $SHELL -c systemctl reenable syslogd → If "install" parameter is used with process running under superuser privilege.
• $SHELL -c systemctl start syslogd → If "install" parameter is used with process running under superuser privilege.
• /bin/sh -c crontab -1 → If "install" parameter is used with process running under superuser privilege.
• $SHELL -c crontab cron.txt → If "install" parameter is used with process running under superuser privilege.

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• 01 → Temporarily halts communication with the C&C server for a specified period.
• 02 → Executes an arbitrary string as a shell command ("[shell]" "-c" "[arbitrary_string]").
• 03 → Reports the current working directory.
• 04 → Changes the current working directory and reports the working directory’s new pathname.
• 05 → Checks TCP connectivity for arbitrary network endpoints.
• 06 → Terminates its own process, effectively stopping the backdoor.
• 07 → Reports the pathname of its own executable file.
• 08 → Gathers statistics about a specified directory tree and reports the total number of subdirectories, total number of files, and the cumulative size of all files.
• 09 → Reports the configuration details of the affected computer, including hostname, username, CPU, RAM, and network interfaces, listing each interface's name, MAC address, IP address, and IPv6 address.
• 10 → Sets a fallback shell for executing shell commands in operation 02, with the initial value set to "/bin/sh".
• 11 → Sets a codepage for interpreting the output from the shell commands in operation 02.
• 12 → Delays communication with the C&C server until a specified datetime.
• 13 → Responds with the message "Not implemented on Linux!".
• 14 → Starts a reverse proxy by connecting to an arbitrary control endpoint.
• 15 → Reports the control endpoints of the reverse proxy.
• 30 → Creates an arbitrary file on the affected computer.
• 31 → Exfiltrates an arbitrary file from the affected computer.

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.34/mir/index.php

その他

マルウェアは、以下を実行します。

• It adds the following service:
  • Service Name: syslogd
  • Start type: Restart=always
• Deletes and terminates itself →If "install" parameter is used with process running under superuser privilege.

マルウェアは、以下のパラメータを受け取ります。

• install → Adds persistence through services if running with superuser privilege or creates a crontab to start the malware with every reboot.

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• /etc/systemd/system/syslogd.service → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
• {マルウェアのファイルパス}\cron.txt → スーパーユーザの権限で実行されたものでないプロセスを使って「install」パラメータが使用された場合。後に削除される

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• /var/log/syslogd → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合

マルウェアは、以下のプロセスを追加します。

• $SHELL -c systemctl daemon-reload → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
• $SHELL -c systemctl reenable syslogd → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
• $SHELL -c systemctl start syslogd → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
• /bin/sh -c crontab -1 → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
• $SHELL -c crontab cron.txt → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• 01 → 指定された期間、C&Cサーバとの通信を一時的に停止する。
• 02 → 任意の文字列をシェルコマンドとして実行する（"[shell]" "-c" "[arbitrary_string]"）。
• 03 → 現在の作業ディレクトリを報告する。
• 04 → 現在の作業ディレクトリを変更し、作業ディレクトリの新しいパス名を報告する。
• 05 → 任意のネットワークに接続されたエンドポイントのTCP接続を確認する。
• 06 → 独自のプロセスを終了し、バックドアを実質的に停止させる。
• 07 → 独自の実行ファイルのパス名を報告する。
• 08 → 指定されたディレクトリツリーに関する統計を収集し、サブディレクトリの合計数、ファイルの合計数、すべてのファイルの累積サイズを報告する。
• 09 → 影響を受けるコンピュータに関する構成の詳細（ホスト名、ユーザ名、CPU、RAM、ネットワークインターフェイス） を報告し、各インターフェイスの名前、MAC アドレス、IP アドレス、IPv6アドレスを一覧表示する。
• 10 → 操作02においてシェルコマンドを実行するためのシェルをフォールバックに設定する。初期値は「/bin/sh」
• 11 → 操作02におけるシェルコマンドからの出力を解釈するためのコードページを設定する
• 12 → 指定された日時までC&Cサーバとの通信を遅らせる
• 13 → 「Not implemented on Linux!」というメッセージが返される
• 14 → 任意のコントロールエンドポイントに接続してリバースプロキシを開始する
• 15 → リバースプロキシのコントロールエンドポイントを報告する
• 30 → 影響を受けるコンピュータ上に任意のファイルを作成する
• 31 → 影響を受けるコンピュータから任意のファイルを抽出する

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.34/mir/index.php

その他

マルウェアは、以下を実行します。

• 以下のサービスを追加します。
• サービス名: syslogd
• 開始タイプ: Restart=always
• Deletes and terminates itself →スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合

マルウェアは、以下のパラメータを受け取ります。

• install → スーパーユーザの権限で実行されている場合はサービスを通じて永続性（パーシステンス）を追加するか、再起動する度にマルウェアを起動するためのcrontabを作成する