Backdoor.Linux.GOMIR.THEBABD
UDS:Backdoor.Linux.Gomir.a (KASPERSKY)
Linux
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- /etc/systemd/system/syslogd.service → If "install" parameter is used with process running under superuser privilege.
- {Malware File Path}\cron.txt → If "install" parameter is used with process not running under superuser privilege. Deletes afterwards.
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- /var/log/syslogd → If "install" parameter is used with process running under superuser privilege.
マルウェアは、以下のプロセスを追加します。
- $SHELL -c systemctl daemon-reload → If "install" parameter is used with process running under superuser privilege.
- $SHELL -c systemctl reenable syslogd → If "install" parameter is used with process running under superuser privilege.
- $SHELL -c systemctl start syslogd → If "install" parameter is used with process running under superuser privilege.
- /bin/sh -c crontab -1 → If "install" parameter is used with process running under superuser privilege.
- $SHELL -c crontab cron.txt → If "install" parameter is used with process running under superuser privilege.
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- 01 → Temporarily halts communication with the C&C server for a specified period.
- 02 → Executes an arbitrary string as a shell command ("[shell]" "-c" "[arbitrary_string]").
- 03 → Reports the current working directory.
- 04 → Changes the current working directory and reports the working directory’s new pathname.
- 05 → Checks TCP connectivity for arbitrary network endpoints.
- 06 → Terminates its own process, effectively stopping the backdoor.
- 07 → Reports the pathname of its own executable file.
- 08 → Gathers statistics about a specified directory tree and reports the total number of subdirectories, total number of files, and the cumulative size of all files.
- 09 → Reports the configuration details of the affected computer, including hostname, username, CPU, RAM, and network interfaces, listing each interface's name, MAC address, IP address, and IPv6 address.
- 10 → Sets a fallback shell for executing shell commands in operation 02, with the initial value set to "/bin/sh".
- 11 → Sets a codepage for interpreting the output from the shell commands in operation 02.
- 12 → Delays communication with the C&C server until a specified datetime.
- 13 → Responds with the message "Not implemented on Linux!".
- 14 → Starts a reverse proxy by connecting to an arbitrary control endpoint.
- 15 → Reports the control endpoints of the reverse proxy.
- 30 → Creates an arbitrary file on the affected computer.
- 31 → Exfiltrates an arbitrary file from the affected computer.
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.34/mir/index.php
その他
マルウェアは、以下を実行します。
- It adds the following service:
- Service Name: syslogd
- Start type: Restart=always
- Deletes and terminates itself →If "install" parameter is used with process running under superuser privilege.
マルウェアは、以下のパラメータを受け取ります。
- install → Adds persistence through services if running with superuser privilege or creates a crontab to start the malware with every reboot.
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- /etc/systemd/system/syslogd.service → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
- {マルウェアのファイルパス}\cron.txt → スーパーユーザの権限で実行されたものでないプロセスを使って「install」パラメータが使用された場合。後に削除される
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- /var/log/syslogd → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
マルウェアは、以下のプロセスを追加します。
- $SHELL -c systemctl daemon-reload → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
- $SHELL -c systemctl reenable syslogd → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
- $SHELL -c systemctl start syslogd → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
- /bin/sh -c crontab -1 → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
- $SHELL -c crontab cron.txt → スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- 01 → 指定された期間、C&Cサーバとの通信を一時的に停止する。
- 02 → 任意の文字列をシェルコマンドとして実行する("[shell]" "-c" "[arbitrary_string]")。
- 03 → 現在の作業ディレクトリを報告する。
- 04 → 現在の作業ディレクトリを変更し、作業ディレクトリの新しいパス名を報告する。
- 05 → 任意のネットワークに接続されたエンドポイントのTCP接続を確認する。
- 06 → 独自のプロセスを終了し、バックドアを実質的に停止させる。
- 07 → 独自の実行ファイルのパス名を報告する。
- 08 → 指定されたディレクトリツリーに関する統計を収集し、サブディレクトリの合計数、ファイルの合計数、すべてのファイルの累積サイズを報告する。
- 09 → 影響を受けるコンピュータに関する構成の詳細(ホスト名、ユーザ名、CPU、RAM、ネットワークインターフェイス) を報告し、各インターフェイスの名前、MAC アドレス、IP アドレス、IPv6アドレスを一覧表示する。
- 10 → 操作02においてシェルコマンドを実行するためのシェルをフォールバックに設定する。初期値は「/bin/sh」
- 11 → 操作02におけるシェルコマンドからの出力を解釈するためのコードページを設定する
- 12 → 指定された日時までC&Cサーバとの通信を遅らせる
- 13 → 「Not implemented on Linux!」というメッセージが返される
- 14 → 任意のコントロールエンドポイントに接続してリバースプロキシを開始する
- 15 → リバースプロキシのコントロールエンドポイントを報告する
- 30 → 影響を受けるコンピュータ上に任意のファイルを作成する
- 31 → 影響を受けるコンピュータから任意のファイルを抽出する
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.34/mir/index.php
その他
マルウェアは、以下を実行します。
- 以下のサービスを追加します。
- サービス名: syslogd
- 開始タイプ: Restart=always
- Deletes and terminates itself →スーパーユーザの権限で実行されているプロセスを使って「install」パラメータが使用された場合
マルウェアは、以下のパラメータを受け取ります。
- install → スーパーユーザの権限で実行されている場合はサービスを通じて永続性(パーシステンス)を追加するか、再起動する度にマルウェアを起動するためのcrontabを作成する
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.ELF.TRX.XXELFC1DFF040
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.GOMIR.THEBABD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください