2022年12月、我々はGruptebaマルウェアの分析を発表した。Gruptebaは、Pay-Per-Installネットワークや感染したソフトウェアを介して配布されるマルウェア・ファミリーで、感染したシステム上に情報窃取ツール、暗号通貨マイナー、IoT 脆弱性を悪用することを目的としたモジュールなどを展開することができます。
前回のブログでは、Gluptebaの運営者がビットコインブロックチェーンの不変かつ分散型の性質を利用して、テイクダウンに極めて強いC2配信メカニズムをどのようにセットアップしたかを紹介しました。さらに、ビットコインブロックチェーンをスキャンし、パッシブDNSログとTLS証明書のパターンをチェックすることで、C2ドメイン登録やウォレット取引のようなイベントのタイムラインを提供し、活動を4つの個別のキャンペーンにクラスタリングしました。
Gluptebaは、数年にわたり活動を続けてきたその寿命の長さと、さまざまな悪意のある活動を実行するために展開できるモジュールの広範な範囲により、私たちの注目を集めました。従来のシステムだけでなく、IoT デバイスも標的にできることから、Gluptebaは多用途で強力な脅威といえます。しかし、Gruptebaを際立たせているのは、コマンド・アンド・コントロール通信にビットコイン・ブロックチェーンを使用するなど、そのアーキテクチャの斬新な側面であり、回復力と回避に対する洗練されたアプローチを示している。このボットネットは現在活動を停止していますが、そのアーキテクチャにより、いつでも再び活動を開始することが可能です。このホワイトペーパーでは、このマルウェアのより包括的な分析と、マルウェアの検出と軽減に役立つ実用的な洞察を提供しています。
ビットコイン・ブロックチェーンによる分散型C2ディストリビューション
Gluptebaの最大の特徴は、ビットコイン・ブロックチェーンを利用し、感染したマシンにC2アドレスを配布する斬新なメカニズムである。ビットコイン・ブロックチェーンは、ビットコインの取引を記録する分散型、追記型、公開台帳として概念化できる。
ビットコインは公開鍵暗号の上に構築されているため、秘密鍵は取引に署名するために使用され、公開鍵はビットコインアドレスを導き出すために使用される。ビットコインの取引は公開されており、誰でも見ることができる。さらに、トランザクションが検証され、ブロックチェーンの一部となるブロックに配置されると、トランザクションを取り消したり、何らかの方法で検閲したりすることはできなくなる。
ビットコイン・ブロックチェーンにはいくつかの特性があり、Gluptebaボットネット運営者が使用するこのC2配布メカニズムに有用である。一言で言えば、C2配信メカニズムの仕組みは、Gruptebaのサンプルがビットコインアドレスを埋め込むというものだ。そのビットコインアドレスを使用して、ブロックチェーン・エクスプローラー・ウェブ・サービスが提供するパブリックAPIを使用して、そのビットコインアドレスから発信されたすべてのトランザクションを見つけます。トランザクションが見つかった場合、感染したマシンはトランザクションのOP_RETURNフィールド内に格納された情報の解読を試み、新しいC2ドメインを指し示す。
ビットコイン・ブロックチェーンの分散性、不変性、透明性は、ここで特に有用な特性である。運営者がGluptebaサンプルに埋め込まれたアドレスに関連する秘密鍵を管理している限り、新しいC2ドメインを発表できるのは彼らだけだ。さらに、トランザクションは誰にも検閲されず、誰でも見ることができるように公開されているため、感染したシステムはそれを調べることができる。ブロックチェーンを使用することで、ボットネットのテイクダウン耐性を実現するエレガントな方法が提供される。
Nozomi Networks 研究所は、Gluptebaマルウェアの詳細な調査を実施しました。ホワイトペーパーでは、次のような情報を提供しています:
- 主なスポイトの分析
- ボットの構成
- VM対策テクニック
- 組み込みカーネルドライバー
- C2とのネットワーク・インタラクション
- 行動可能なネットワークベースのIOC
- ボットネット運用のタイムライン
結論
悪意のある行為者は常に技術革新に駆り立てられており、システムに侵入し、より弾力的な方法で侵害されたデバイスの制御を維持するための新しく洗練された方法を開発しています。これにより、セキュリティ対策による検出やシャットダウンのリスクを最小限に抑えながら、活動の寿命を延ばすことができます。このような攻撃者は、継続的に戦術を進化させることで、サイバーセキュリティチームや法執行機関による取り締まりの試みを回避しながら、キャンペーンが可能な限り長く有効であり続けることを保証し、対策の先を行くことを目指しています。Gluptebaは、ビットコイン・ブロックチェーンの透明性に依存しているため、脅威行為者の活動のタイムラインに関する重要な洞察を得ることができました。ブロックチェーンのトランザクションを分析することで、私たちはコマンド&コントロールサーバーとして使用されるドメインを発見し、主要な作戦フェーズを特定し、脅威行為者がいつ、どのように作戦を実施したかをより明確に描き出すことができました。
