SysUpdate マルウェアの新しいバリアントが Linux システムを標的にするものが発見され、コマンドアンドコントロール通信のための高度な暗号化を備えています。LevelBlue のセキュリティ研究者がデジタルフォレンジック業務中に脅威を特定し、そのトラフィックを復号するためのツールを開発しました。マルウェアは検知を回避するために正当なシステムサービスとして偽装しています。
SysUpdate マルウェアのバリアントは、Linux 環境に対する洗練された脅威として現れ、LevelBlue のアナリストが Digital Forensics and Incident Response (DFIR) 業務中に検知しました。クライアントのシステムに現れた怪しい Linux バイナリは、セクションヘッダーなしの未知の難読化パッカーを使ったパックされた ELF64 実行ファイルとして特定され、従来の分析を複雑化しています。 nn特定の引数なしで実行されると、マルウェアはシステム情報を収集するために GNU/Linux の ID コマンドを実行し、次に複数のプロトコル経由で暗号化されたネットワーク通信を開始します。LevelBlue の動的解析とエンドポイント検知メトリクスは、新しい SysUpdate バージョンを強く示す指標を明らかにし、リバースエンジニアリングにより高い信頼性で確認されました。マルウェアの C++ コードベースは、コマンドアンドコントロール (C2) トラフィックを暗号化するための複雑な暗号ルーチンを使用し、ネットワークベースの検知を妨げています。 nnこれに対抗するため、研究者はアクティブインシデント中に Unicorn Engine エミュレーションフレームワークを使用して復号ツールを開発しました。このツールは、マルウェアサンプルからマシンコードバイト、全グローバルデータ構造、ヒープ値、CPU レジスタ状態を抽出します。ヒープ内のハードコードされた平文暗号鍵からの鍵生成をエミュレートし、未知のアルゴリズムによる XOR 操作で 8 バイトデータブロックを復号し、マルウェアのメモリマッピング(スタック、ヒープ、データセグメント、コードを含む)を再現します。 nnこの方法論は、静的解析のための Binary Ninja、動的デバッグのための GDB、および x86-64 エミュレーションのための Rust ベースの Unicorn Engine バインディングを統合し、暗号の完全なリバースエンジニアリングを回避します。このアプローチにより、新しい暗号鍵を抽出することで、現在のおよび将来のバリアントの C2 トラフィックの復号が可能になります。 nnLevelBlue は、組織に対し、システムサービスを模倣したパックされた ELF 実行ファイルを監視するエンドポイント検知ソリューションを展開し、暗号化パターンのネットワークトラフィック解析を実施し、マルウェアエミュレーション機能付きのインシデント対応を準備することを推奨します。