Last Updated on 2024-06-25 04:35 by admin
XZバックドアは、通信のキャプチャやハイジャックを避けるためにアンチリプレイ機能を備えています。このバックドアの作者は、公開鍵を隠すためにカスタムのステガノグラフィ技術を使用し、不正な接続のログを隠すためにログ関数をフックしています。また、パスワード認証と公開鍵認証の両方をフックし、攻撃者が追加のチェックなしで感染したサーバーにログインできるようにしており、任意のシステムコマンドを実行できるリモートコード実行の機能も持っています。
バックドアの動作解析では、RSA_public_decrypt、RSA_get0_key、EVP_PKEY_set1_RSAの3つの関数をフックしようとすること、RSA公開鍵の抽出と処理、ED448公開鍵を使用したペイロードデータの復号化と署名チェック、ペイロードの整合性と信頼性の確認、特定のコマンドを実行するためのバックドアコマンドの選択が明らかになっています。
XZバックドアは非常に高度な脅威であり、バイナリコードに公開鍵情報が埋め込まれており、回復プロセスを複雑にしています。この脅威の操作には、長期にわたるソーシャルエンジニアリングキャンペーンを含む入念な準備が必要であり、背後にいるグループまたは攻撃者はSSHやlibcなどのオープンソースプロジェクトの内部について広範な知識を持ち、使用されるコード/スクリプトの曖昧化に精通しています。
【ニュース解説】
XZバックドアは、OpenSSH内で悪意のある行動を行う高度な脅威です。このバックドアは、RSA鍵操作に関連する関数をフックすることを目的として設計されており、特にOpenSSHのポータブルバージョン9.7p1に影響を与えます。攻撃者は、このバックドアを通じて、SSHサーバーに対する不正なアクセスを隠蔽し、任意のユーザー名とパスワードでログインする能力を得ることができます。さらに、リモートから任意のコマンドを実行することも可能です。
このバックドアの特徴的な点は、公開鍵を隠すためにカスタムのステガノグラフィ技術を使用していることです。この技術により、攻撃者はバイナリコード内に公開鍵情報を巧妙に隠すことができます。また、ED448公開鍵を用いたペイロードの復号化と署名チェックを行い、ペイロードの整合性と信頼性を確認します。これにより、攻撃者だけがサーバーに特定のコマンドを送信できるようになります。
バックドアは、SSH認証をバイパスする機能も持っています。これにより、攻撃者は任意のユーザー名とパスワード、または公開鍵を使用して、追加のチェックなしに感染したサーバーにログインすることが可能になります。さらに、リモートコード実行機能を利用して、感染したサーバー上で任意のシステムコマンドを実行できます。
このバックドアの存在は、SSHサーバーのセキュリティにとって重大な脅威です。攻撃者がサーバーに不正アクセスできるだけでなく、その活動を隠蔽する能力を持っているため、侵害の発見が困難になります。また、このバックドアは、長期にわたるソーシャルエンジニアリングキャンペーンを含む複雑な攻撃に利用される可能性があります。
このような高度な脅威に対抗するためには、システムの定期的な監視と更新、不審な活動の迅速な検出と対応が不可欠です。また、オープンソースプロジェクトのセキュリティに関する知識を深め、コードの曖昧化やステガノグラフィ技術に対する理解を高めることも重要です。セキュリティ対策を強化し、このような脅威からシステムを守るためには、最新のセキュリティ技術と対策の適用が求められます。
from XZ backdoor: Hook analysis.
