検出が「ほぼ不可能」という新たな形態のLinuxマルウェア「Symbiote」が、BlackBerryのResearch and Intelligence Teamの研究者らと、Intezerのセキュリティ研究者であるJoakim Kennedy氏によって発見されたという。カナダのBlackBerryが現地時間6月9日に発表した。
これらの研究者らがSymbioteを発見したのは数カ月前のことだ。Symbioteは、実行中のプロセスに対して侵害を試みるという、Linuxで今日一般的に見られる通常のマルウェアとは異なり、LD_PRELOADを介することで、実行中のすべてのプロセスにロードされる共有オブジェクト(SO)ライブラリーとして動作する。
研究者らによると、このSOライブラリーは標的となったマシンに「寄生」するかたちで侵害を試みるという。そしてシステムに食い込んだ後、同マルウェアは攻撃者にルートキットの機能を提供するという。
Symbioteはいくつかの興味深い特徴を有している。一例を挙げると、このマルウェアは感染したマシン上での悪意あるトラフィックを隠蔽(いんぺい)するために、Berkeley Packet Filter(BPF)フッキングという機能を悪用している。なお、BPFはEquation Groupが開発したマルウェアでも悪用されている。
BlackBerryの説明によると、「管理者が、感染したマシン上で何らかのパケットキャプチャーツールを起動すると、捕捉対象となるパケットを定義するBPFのバイトコードがカーネルに注入される。この処理において、Symbioteは自らのバイトコードを最初に追加するため、パケットキャプチャーツールに捕捉されたくないネットワークトラフィックを除去することが可能になる」という。
このマルウェアが有する最も特徴的な要素の1つは、ステルス性だ。Symbioteは他の共有オブジェクトのロードに先立ってプリロードされ、libcやlibpcapを含む特定の関数をフックすることで自らの存在を隠蔽する。Symbioteに関連付けられている他のファイルも隠蔽され、そのネットワークエントリーも継続的に消去される。
これはやばいな