ESET、5年以上Linux/FreeBSDで活動する巧妙なマルウェア発見

ESETはこのほど、「Unboxing Linux/Mumblehard - Muttering spam from your servers」において、LinuxやFreeBSDなどで活動するマルウェア「Linux/Mumblehard」を発見したと伝えた。このマルウェアは感染したサーバにバックドアを構築するもので、攻撃者はサーバの制御権を得ることが可能になる。少なくとも2009年からの活動が確認されているほか、過去半年ほどの活動に絞っても8000を超えるIPアドレスのサーバがこのマルウェアに感染しているものと推測されている。

「Linux/Mumblehard」の主な特徴は次のとおり。

アセンブラで記述されたELFバイナリの中にPerlスクリプトを隠蔽する形で開発されており、平均レベルのマルウェアよりも高度な知識や技術が利用されている
2009年から活動が観測されている
過去7カ月にわたって観測した結果、合計で8867のユニークなIPアドレスのサーバがこのマルウェアに感染しているものと推測される
電子メールを送信するソフトウェアを販売しているオンライン企業Yellsoftとの関連性が強く示されている

「Linux/Mumblehard」は巧妙に作成されており、アセンブラから直接システムコールを呼んで動作している。さらにLinuxとFreeBSDの双方で動作するように巧妙に仕組まれており、最終的に/usr/bin/perlをexecve(2)システムコールで実行してPerlインタプリタを実行し、さらにそこにパイプ経由でスクリプトを流し込んで動作している。

このマルウェアはスパムの送信に使われることが多いとされているが、感染したシステムでは任意のコードを実行できてしまうため、スパム送信以外の目的でも活用されているものと考えられるという。また、ELFバイナリはLinuxとFreeBSDを対象としているが、Perlスクリプト部分はLinuxとFreeBSD以外にWindowsでも動作する仕組みになっている。

「Linux/Mumblehard」は短期的に見ると感染数が減少しているが、定期的に爆発的な感染を見せ、長期的に見ると総数を増やしている。今後も増加が推定されるため注意が必要。5年以上にわたってマルウェアは活動を続けており、「Linux/Mumblehard」の利用者はこの間感染したサーバを使って活動していたことになる。LinuxやFreeBSDを活用したサーバを運用している場合は感染をチェックするとともに、常に最新のソフトウェアに更新し続けることが望まれる。

ESETでは、LinuxやFreeBSDをターゲットとしたマルウェアは年々巧妙化していると説明。特に「Linux/Mumblehard」で使われているPerlスクリプトを隠蔽するためのELFバイナリパックの技術は、Windigoオペレーションのときのような複雑さではないものの、とても巧妙なものだと指摘している。