LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 19
ストーリー by hylom
原理は分かるがインストールされるのは簡単ではなさそうだ 部門より
原理は分かるがインストールされるのは簡単ではなさそうだ 部門より
headless曰く、
WikiLeaksは6月29日、米中央情報局(CIA)が作成したLinuxを狙うマルウェア「OutlawCountry」のドキュメントをVault 7プロジェクトで公開した(Vault 7 — OutlawCountry、BetaNews、Softpedia)。
OutlawCountryはLinux 2.6系向けのカーネルモジュールで、ターゲットマシンに秘密のDNATルールを追加し、ネットワークトラフィックをCIAの管理下にあるマシンへリダイレクトするというもの。モジュールが読み込まれるとnetfilterテーブルが作成され、既存のルールに優先する新たなルールをiptablesコマンドで追加できる。ルールを確認できるのはテーブル名を知っている管理者のみで、モジュールをアンインストールするとテーブルも削除される。
互換性のあるターゲットはCentOS/RHEL 6.x(カーネルバージョン2.6.32)で、netfiliterルール「nat」が必要だ。インストールにはルート権限でのシェルアクセスが必要となるため、実際のインストールには別途CIAのエクスプロイトなどを使用するものとみられる。
自爆 (スコア:0)
拡散するとすごいDDoSが生じそうだけど、ワームってわけではないからいいのか。
Re: (スコア:0)
良いわけねーだろw
Re: (スコア:0)
横レス失礼
「良いわけねーだろw」って何に対して言ってるの?
・CIAがマルウェアを作成していること
→ これなら納得
・iptablesのDNAT実装
→ DNATくらい実装するだろ
・DNATという仕組み自体
→ サーバにもグローバルIPを直接割り当てれ派?
Re:自爆 (スコア:2)
どれでもなく元コメントに対してだと思いますが…。
Re: (スコア:0)
そういうのは技術的に解決できそうじゃない?そもそもipアドレスは決め打ちなの?
むしろ、DDoSやってる人のマシンに入っちゃったら危ない気もする。個人でクローラを運用してる人とか。
Re: (スコア:0)
普通に考えてフィッシング用だろ
Linuxはdistro/version間のバイナリ互換性が低いから (スコア:0)
マルウェアの拡散抑止という点では有利っちゃ有利だよね。
Linuxでマルウェアを作るならスクリプト言語がよいな。
Re: (スコア:0)
それがそうとも……
ubuntuのパッケージをArchに持っていった事がある。
表面上は、問題なく動いてたな。
Re: (スコア:0)
>Linuxでマルウェアを作るならスクリプト言語がよいな。
どうせ /usr/bin/python とかのバージョン違いで挫折するよ
Re: (スコア:0)
#! ./bin/python
相対パス動いたか知らない
これで影響受ける奴いるの? (スコア:0)
まず2.6系の時点でいないだろ。
最新リリース版は4.12だろとかいう以前に、AndroidですらL以降は3.10だし、KitKatですら3.4だからな。
次にカーネルモジュールってさぁ・・・・。
普通、インストールしてまず始めにすることって自分の環境用のカーネルのビルドでしょ。
自分用のカーネルなんだから必要なものだけ有効にして後は全部オフ。
てかモジュールなんてそもそも「# CONFIG_MODULES is not set」でFAでしょ。
仮に自分用のカーネルでもモジュール使いたい層がいたとしても、モジュールチェックサム有効にしとけば全て解決じゃん。
しかもiptablesだろ?
今時シコシコとiptables用のスクリプト書いてる人なんてもう居ないんじゃないの。
少なくとも自分で書いてる層は皆nftablesに移行完了してるでしょ。
iptablesとip6tablesを両方管理するとか面倒臭くてもうやってられんし、そうすると使わないのでip*tablesなんてインストールすらしていない。
自分で書けないからshorewall丸投げ君は、shorewallが裏でiptables使ってるからやられるかもしれんけどな。
で、極めつけがNATテーブル。
自分用のカーネルをビルドする時点でNATテーブルなんてオフにするでしょ。
自前のLinuxルータ製作が華やかなりし頃ならまだしも、大抵の人はfilterテーブル以外使わない。
rpfilter使いたいからRAWテーブルだけ有効にしとくとかならまだしも、natテーブルはいらんわ。
ここまででもかなり稀有な状況なのに、その上ルート権限によるシェルアクセス必須とかさ。
どんだけピンポイントに狙い撃ちするマルウェアなの?
これもう普通にクラックするのと同義だろ。
Re: (スコア:0)
RHEL6がまだサポート期間だから対象になるシステムなんて山ほどあるでしょ。
んで、RHEL買うような所はベンダサポート受けたいんだから、入れたいソフトで要求されてない限り余計なカーネルビルド何てしない。
ただ、ローカルシェルアクセスでルート権限必須とかいうあり得ない前提条件なので、普通にクラックするのと同じというのは同意。
マルウェアというよりかは、侵入した後の環境構築キットみたいなもんなんじゃない?
Re: (スコア:0)
10年以上前のマルウェアが今頃公開された、ってことじゃないの?
Re: (スコア:0)
残念ながら今初めて、Nftableのことを知りました
そしてシェルスクリプトで回してますがorz
Re: (スコア:0)
過去にこういうのがありましたよ?って記事でしょ。
今は、今用のがあるんじゃね?
CIAの具体的な手口を紹介してるんでしょ。
Re: (スコア:0)
なんか吉野家のコピペ
Re: (スコア:0)
なんか吉野家のコピペ思い出したですはいすいません
Re: (スコア:0)
今のターゲットはLinuxベースの組み込み機器じゃないの?
CentOSベースは最近あまり聞かないが、うちで扱っているやつにもまだ2.6系いるよ。
IoTだのなんだので探せばいろんなところにありそう。
あ、32bitで動かないのか。
Re: (スコア:0)
ひとつづつiptablesってのはさすがにいないだろうけど
ipsetと使ってる諸氏は少なくないんじゃないでしょうか
で
「"nftables" ブラックリスト [google.co.jp]」でググってみたんですが
たいした情報出てこないんですよ
どの界隈の常識が今一つ判然としませんでした