パスワードを忘れた? アカウント作成
13328462 story
レッドハット

LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 19

ストーリー by hylom
原理は分かるがインストールされるのは簡単ではなさそうだ 部門より
headless曰く、

WikiLeaksは6月29日、米中央情報局(CIA)が作成したLinuxを狙うマルウェア「OutlawCountry」のドキュメントをVault 7プロジェクトで公開した(Vault 7 — OutlawCountryBetaNewsSoftpedia)。

OutlawCountryはLinux 2.6系向けのカーネルモジュールで、ターゲットマシンに秘密のDNATルールを追加し、ネットワークトラフィックをCIAの管理下にあるマシンへリダイレクトするというもの。モジュールが読み込まれるとnetfilterテーブルが作成され、既存のルールに優先する新たなルールをiptablesコマンドで追加できる。ルールを確認できるのはテーブル名を知っている管理者のみで、モジュールをアンインストールするとテーブルも削除される。

互換性のあるターゲットはCentOS/RHEL 6.x(カーネルバージョン2.6.32)で、netfiliterルール「nat」が必要だ。インストールにはルート権限でのシェルアクセスが必要となるため、実際のインストールには別途CIAのエクスプロイトなどを使用するものとみられる。

  • by Anonymous Coward on 2017年07月04日 13時53分 (#3238458)

    拡散するとすごいDDoSが生じそうだけど、ワームってわけではないからいいのか。

    ここに返信
    • by Anonymous Coward

      良いわけねーだろw

      • by Anonymous Coward

        横レス失礼
        「良いわけねーだろw」って何に対して言ってるの?

        ・CIAがマルウェアを作成していること
         → これなら納得
        ・iptablesのDNAT実装
         → DNATくらい実装するだろ
        ・DNATという仕組み自体
         → サーバにもグローバルIPを直接割り当てれ派?

    • by Anonymous Coward

      そういうのは技術的に解決できそうじゃない?そもそもipアドレスは決め打ちなの?

      むしろ、DDoSやってる人のマシンに入っちゃったら危ない気もする。個人でクローラを運用してる人とか。

    • by Anonymous Coward

      普通に考えてフィッシング用だろ

  • by Anonymous Coward on 2017年07月04日 15時20分 (#3238542)

    マルウェアの拡散抑止という点では有利っちゃ有利だよね。
    Linuxでマルウェアを作るならスクリプト言語がよいな。

    ここに返信
    • by Anonymous Coward

      それがそうとも……

      ubuntuのパッケージをArchに持っていった事がある。
      表面上は、問題なく動いてたな。

    • by Anonymous Coward

      >Linuxでマルウェアを作るならスクリプト言語がよいな。
      どうせ /usr/bin/python とかのバージョン違いで挫折するよ

      • by Anonymous Coward

        #! ./bin/python

        相対パス動いたか知らない

  • by Anonymous Coward on 2017年07月04日 15時35分 (#3238562)

    まず2.6系の時点でいないだろ。
    最新リリース版は4.12だろとかいう以前に、AndroidですらL以降は3.10だし、KitKatですら3.4だからな。

    次にカーネルモジュールってさぁ・・・・。
    普通、インストールしてまず始めにすることって自分の環境用のカーネルのビルドでしょ。
    自分用のカーネルなんだから必要なものだけ有効にして後は全部オフ。
    てかモジュールなんてそもそも「# CONFIG_MODULES is not set」でFAでしょ。
    仮に自分用のカーネルでもモジュール使いたい層がいたとしても、モジュールチェックサム有効にしとけば全て解決じゃん。

    しかもiptablesだろ?
    今時シコシコとiptables用のスクリプト書いてる人なんてもう居ないんじゃないの。
    少なくとも自分で書いてる層は皆nftablesに移行完了してるでしょ。
    iptablesとip6tablesを両方管理するとか面倒臭くてもうやってられんし、そうすると使わないのでip*tablesなんてインストールすらしていない。
    自分で書けないからshorewall丸投げ君は、shorewallが裏でiptables使ってるからやられるかもしれんけどな。

    で、極めつけがNATテーブル。
    自分用のカーネルをビルドする時点でNATテーブルなんてオフにするでしょ。
    自前のLinuxルータ製作が華やかなりし頃ならまだしも、大抵の人はfilterテーブル以外使わない。
    rpfilter使いたいからRAWテーブルだけ有効にしとくとかならまだしも、natテーブルはいらんわ。

    ここまででもかなり稀有な状況なのに、その上ルート権限によるシェルアクセス必須とかさ。
    どんだけピンポイントに狙い撃ちするマルウェアなの?
    これもう普通にクラックするのと同義だろ。

    ここに返信
    • by Anonymous Coward

      RHEL6がまだサポート期間だから対象になるシステムなんて山ほどあるでしょ。

      んで、RHEL買うような所はベンダサポート受けたいんだから、入れたいソフトで要求されてない限り余計なカーネルビルド何てしない。

      ただ、ローカルシェルアクセスでルート権限必須とかいうあり得ない前提条件なので、普通にクラックするのと同じというのは同意。

      マルウェアというよりかは、侵入した後の環境構築キットみたいなもんなんじゃない?

    • by Anonymous Coward

      10年以上前のマルウェアが今頃公開された、ってことじゃないの?

    • by Anonymous Coward

      残念ながら今初めて、Nftableのことを知りました
      そしてシェルスクリプトで回してますがorz

    • by Anonymous Coward

      過去にこういうのがありましたよ?って記事でしょ。
      今は、今用のがあるんじゃね?

      CIAの具体的な手口を紹介してるんでしょ。

    • by Anonymous Coward

      なんか吉野家のコピペ

      • by Anonymous Coward

        なんか吉野家のコピペ思い出したですはいすいません

    • by Anonymous Coward

      今のターゲットはLinuxベースの組み込み機器じゃないの?
      CentOSベースは最近あまり聞かないが、うちで扱っているやつにもまだ2.6系いるよ。
      IoTだのなんだので探せばいろんなところにありそう。

      あ、32bitで動かないのか。

    • by Anonymous Coward

      ひとつづつiptablesってのはさすがにいないだろうけど
      ipsetと使ってる諸氏は少なくないんじゃないでしょうか


      "nftables" ブラックリスト [google.co.jp]」でググってみたんですが
      たいした情報出てこないんですよ

      どの界隈の常識が今一つ判然としませんでした

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...