Trend Micro Security

Backdoor.Linux.NOODLERAT.ZKJJ

2022年10月24日
 解析者: Khristian Joseph Morales   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 86,208 bytes
タイプ ELF
メモリ常駐 なし
発見日 2022年10月13日
ペイロード URLまたはIPアドレスに接続, ファイルの作成

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /tmp/CCCCCCCCCCCCCCCC → deletes afterwards

マルウェアは、以下のプロセスを追加します。

  • "/tmp/CCCCCCCCCCCCCCCC"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Reverse Shell
  • File Management (Create/Search Directory, Rename/Delete/Upload/Download File)
  • Timer Management (Get current time, Set next execution time)
  • Socks Tunneling

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.174.15:443

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

その他

マルウェアは、以下を実行します。

  • Run itself as a daemon
  • It sends the output of the executed command back to the C&C Server
  • It checks for the current time and day
    • if it matches it's config, it will attempt to connect to it's C&C Server
    • if not, it will sleep then will check for the current time and day after the specified time
  • It can create either the following files that contains a timestamp (year, month, day, hour, minutes) for when the C&C connection will connect
    • /usr/include/sdfwex.h
    • /tmp/.llock

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、脆弱性を利用した感染活動を行いません。

<補足>
インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /tmp/CCCCCCCCCCCCCCCC → 後に削除される

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • リバースシェル
  • ファイルの管理 (ディレクトリの作成/検索 、ファイルの名前変更/削除/アップロード/ダウンロード)
  • タイマーの管理 (現在時刻の取得、次の実行時間の設定)
  • Socksトンネリング

その他

マルウェアは、以下を実行します。

  • 自身をデーモンとして実行
  • 実行されたコマンドの出力を C&C サーバに返送
  • 現在の日時の確認
    • 自身の設定と一致する場合、C&C サーバへの接続を試みます。
    • 一致しない場合は、スリープ状態になり、指定された時刻以降の現在の日時を確認します。
  • いつC&Cサーバに接続するか設定されたタイムスタンプ (年、月、日、時、分) を含む、以下のいずれかのファイルを作成する可能性があります。
    • /usr/include/sdfwex.h
    • /tmp/.llock

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.882.04
初回 VSAPI パターンリリース日 2022年10月18日
VSAPI OPR パターンバージョン 17.883.00
VSAPI OPR パターンリリース日 2022年10月19日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • Troj.ELF.TRX.XXELFC1DFF020

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.NOODLERAT.ZKJJ 」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください