1:名無しさん


サイバーセキュリティ企業・ノートンライフロックのThreatHunterチームが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と協力して、インターネットに直接接続されていないセキュリティで保護されたデバイスにリモートアクセスできるようになるマルウェア「Daxin」に関する情報を開示しました。

CISAによると、「Daxin」はインターネットに直接接続されていないセキュリティ的に保護された状態にあるはずの端末に、リモートでアクセスできるようにするための複雑で検知することが難しいコマンド&コントロール機能を有した高度なルートキットバックドアです。Daxinを利用することで、攻撃者はターゲットネットワークに深く潜り込み、データを盗み出すことが可能となります。なお、ThreatHunterチームによると、Daxinは中国の攻撃者により展開された「最も先進的なバックドアのひとつ」だそうです。

Daxinの特徴のひとつは、マルウェアの世界ではあまり典型的ではない「Windowsカーネルドライバーをターゲットとしたマルウェアである」という点。Daxinは高いステルス性を有しており、それはデータ交換と通常のインターネットトラフィックを組み合わせた高度な通信機能に由来します。

Daxinは攻撃者に侵害されたコンピューターシステムへのリモートアクセスを提供するマルウェアというだけでなく、感染端末からデータを盗んだり、遠隔からコマンドを実行したり、別のマルウェアをインストールしたりすることも可能です。Daxinのようなマルウェアは通常、保護されたネットワークから情報を盗んだり、デバイスをさらに侵害したりするために使用されるため、ネットワークトラフィック監視ツールに検出されることを回避するため、データ転送に暗号化または難読化を施します。一方Daxinの場合、端末上のネットワークトラフィックを監視し、特定のパターンを検出してこれを真似ることでネットワーク監視から逃れるよう設計されているとのこと。そして、ネットワークトラフィックの特定パターンを検出したのち、正当なTCPコネクションをハイジャックすることで、攻撃者はコマンド&コントロールサーバーと通信することが可能となります。DaxinがTCPコネクションをハイジャックすることで、攻撃者は悪意のある通信データを正当なトラフィックに偽装可能となるわけです。

ThreatHunterチームは「DaxinがTCPコネクションをハイジャックすることで、通信のステルス性が高まり、厳格なファイアウォールを使用してネットワーク上に接続を確立することが可能になります。これにより、セキュリティオペレーションセンター(SOC)アナリストがネットワーク上の異常を検出することが難しくなります」と記しています。

また、DaxinはTCPコネクションをハイジャックすることで感染デバイスを増やしていくため、感染源となる端末さえインターネットに接続されていれば、その他の端末がインターネットに接続されていなくても感染を広めることが可能です。他にも、Daxinの内蔵機能は感染した端末に追加のコンポーネントを配置することで拡張できます。この追加コンポーネントは32ビットのサービス識別子を特定ハンドルに関連付けるため、攻撃者はリモートから特定のメッセージを送信することで、このコンポーネントと通信することも可能となります。そのため、Daxinに感染した端末ネットワークの中で複雑な通信経路を確立することもでき、これにより悪意のあるトラフィックの検出が難しく、攻撃者が検知される可能性が「最小限に抑えられてしまう」というわけです。

ThreatHunterチームは、Daxinを用いる攻撃者が中国政府を後ろ盾とするハッキンググループ「Slug(別名:Owlproxy)」と関連することを発見しています。なお、Daxinは2013年に初めて検出されており、その時点で現在と同等の機能を有していたそうですが、しばらくの間はサイバー攻撃に使用された形跡はなかった模様。Daxinが関与する最新のサイバー攻撃は2021年11月に観測されたもので、電気通信・運輸・製造業関連の企業をターゲットとしたものだったそうです。

2022年03月02日 21時00分
https://gigazine.net/news/20220302-china-malware-daxin/
https://i.gzn.jp/img/2022/03/02/china-malware-daxin/s01.png

 

2:名無しさん


物理わかんねえよ
潜伏アプリということ?

 

40:名無しさん

>>2
単純に踏み台として動作するってだけ

18:名無しさん

>>2
インターネットに接続できるマシンに潜伏したあとは
そこを起爆剤としてbluetoothとかプライベートIPとかローカルネットワークとか侵入できちゃうわけよ

15:名無しさん


ネットワーク上にいるけどデフォルトゲートウェイとか設定してない端末とか想定してんのかな

 

12:名無しさん


ある意味大発明と言うか便利なんじゃないのかい?
2000年製のテレビリモコンに侵入しオン・オフ出来るんだぜ

 

42:名無しさん

>>12
普通だよ

完全したサーバー経由で感染する
攻撃者の命令をサーバー経由で指示する
ってだけ
プロキシとして動くだけ

13:名無しさん


プロキシか

 

24:名無しさん


なんか無線LANカメラとかの中華製を使ってると簡単に感染しそうだな…

 

57:名無しさん


理屈を考えれば、
公衆無線LANなんて、
もう最悪に防備脆弱だよな。
俺は一切公人じゃないから、
構わないんだけども・・・

 

61:名無しさん


ネットに繋がってなくても感染USBをぶっ挿せば感染するみたいな話なんじゃね?

 

62:名無しさん


wifi経由で攻撃?
以前アイロンにwifi仕込まれてたこと発覚してたな
こういうためか
中華製品はなに仕込まれるかわからんな

 

66:名無しさん


類似のものとしてイランの核開発原子力施設を一部破壊したマルウェアStuxnetもそうだな
WindowsPCからUSBメモリ経由で破壊対象システム(オフライン)に感染して実査にい効果を挙げている。

 

68:名無しさん


また中国かよ

 

70:名無しさん


内側からアクセスしに行ってコネクション張る事くらいウイルスじゃ普通じゃないのかね

 

71:名無しさん


なんで全ての端末をネットに繋ぎ続けるの?