ELF_VPNFILT.C

2018年6月7日
 解析者: Noel Anthony Llimos   
 別名:

Linux/VPNFilt-C (Sophos_LITE), Trojan:Linux/VPNFilt (Microsoft)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

2018年5月、世界 54 カ国余りで50 万台以上の家庭用または小規模オフィス用ルータが「VPNFilter」と名付けられたマルウェアに感染したと報告されました。VPNFilter マルウェアは、モジュール化によって多段階の攻撃を実行する巧妙なマルウェアです。一般消費者向けのルータおよび「Network Attached Storage(NAS)」を対象として、三段階の攻撃を行います。第三段階のマルウェアのモジュールのひとつが、トラフィックから情報を収集するパケット盗聴機能のためのプラグイン(「ELF_VPNFILT.C」として検出)です。

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

  詳細

ファイルサイズ 37,932 bytes
タイプ ELF
メモリ常駐 はい
発見日 2018年6月8日
ペイロード 情報収集, ネットワークセキュリティへの感染活動, プロセスの強制終了

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • /var/run/vpnfilterm/htpx
  • /var/run/vpnfilter
  • /var/run/vpnfilterm/
  • /var/run/vpnfilterw/

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • vpnfilter
  • security
  • tor

情報漏えい

マルウェアは、以下の情報を収集します。

  • HTTP authentication packets, which contains the following:
    • Username
    • Password
    • Level of Authorization
  • Modbus SCADA Protocols
  • Website Credentials

<補足>
侵入方法

マルウェアは、リモートサイトから ELF_VPNFILT.A にダウンロードされることによってコンピュータに侵入します。

情報漏えい

マルウェアは、以下の情報を収集します。

  • HTTP認証パケット。以下の情報が含まれる。
    • ユーザ名
    • パスワード
    • 認証レベル
  • Modbus SCADAプロトコル
  • Webサイトの認証情報

その他

マルウェアは、以下を実行します。

  • ネットワークトラフィックの傍受
  • 傍受されたデータは以下のファイルに保存される
    • %DIR%/rep_%NUMBER%.bin
      • 上記のDIRは、ELF_VPNFILT.B で作成される /var/run/vpnfilterw です。
  • ELF_VPNFILT.B が使用する、独自のTOR通信を作成する
    • 以下のシステムファイルを削除することにより、感染したデバイスを使用不能にする
      • /var/tmp/client_ca.crt
      • /var/tmp/client.key
      • /var/tmp/client.crt
      • /var/run/vpn.tmp
      • /var/run/vpn.
      • /var/run/torrc
      • /var/run/tord/hidden_ssh/private_key
      • /var/run/tord/hidden_ssh/hostname
      • /var/run/tor
      • /var/run/msvf.pid
      • /var/run/client_ca.crt
      • /var/run/client.key
      • /var/run/client.crt
      • /var/pckg/mikrotik.
      • /var/pckg/.mikrotik.
      • /var/msvf.pid
      • /var/client_ca.crt
      • /var/client.key
      • /var/client.crt
      • /tmp/client_ca.crt
      • /tmp/client.key
      • /tmp/client.crt
      • /flash/nova/etc/loader/init.x3
      • /flash/nova/etc/init/security
      • /flash/nova/etc/devel-login
      • /flash/mikrotik.o
      • /flash/.mikrotik.
      • /var/run/tord/hidden_ssh/
      • /var/run/tord/
      • /flash/nova/etc/loader/
    • /dev/mtdX(Linuxフラッシュメモリ)のバイトを0xFFバイトで変更することにより、再起動後システムが使用不能になる。
    • 以下のコマンドを実行して、残りのシステムファイルを削除する。
      • rm -rf /*

      対応方法

    対応検索エンジン: 9.850
    初回 VSAPI パターンバージョン 14.302.08
    初回 VSAPI パターンリリース日 2018年6月7日
    VSAPI OPR パターンバージョン 14.303.00
    VSAPI OPR パターンリリース日 2018年6月8日

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_VPNFILT.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください