ELF_VPNFILT.D
Linux.VPNFilter (Norton), Trojan.Linux.VPNFilter.D (Bitdefender)
Linux
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
2018年5月、世界 54 カ国余りで50 万台以上の家庭用または小規模オフィス用ルータが「VPNFilter」と名付けられたマルウェアに感染したと報告されました。VPNFilterは、モジュール化によって多段階の攻撃を実行する巧妙なマルウェアです。一般消費者向けのルータおよび「Network Attached Storage(NAS)」を対象として、三段階の攻撃を行います。
このマルウェアは、第三段階目の攻撃を構成する複数のモジュールの一つ(「ELF_VPNFILT.D」として検出)です。JavaScriptインジェクションを実行し、また、感染デバイスのiptablesに変更を加えます。
マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
その他
マルウェアは以下を実行します。
- このモジュールの動作は、以下のパラメータによって決定します。
- dump: ←傍受したすべてのHTTPヘッダを reps_*.binに格納するために使用する。(reps_*.binは、 ELF_VPNFILT.Bによって作成される)
- dst: ←iptablesのルールが適用される、特定の送信先IPアドレス範囲を作成するために使用される
- src: ←iptablesのルールが適用される、特定の送信元IPアドレス範囲を作成するために使用される
- site: ←このパラメータで指定されているURLは、JavaScriptインジェクション対象となるWebページのこと
- hook: ←このパラメータは、JavaScriptファイルがインジェクションされる場所あるいはURLを指定する
- マルウェアは、パラメータ "site:"のデータに基づいてJavaScriptインジェクションを実行します。
- マルウェアはHTTPを使用してHTTPSリクエストを変換しセキュリティを低下させ、認証情報やログイン情報などのデータを抽出します。
- 認証ヘッダー内の以下の文字列のデータを傍受して、ログイン認証情報を抽出します。
- ail=
- sername=
- ame=
- ser=
- ogin=
- hone=
- session[password
- session%5Bpassword
- session%5Busername
- このモジュールは、変更を加えた感染デバイスのiptableのルールが削除されないように、約4分ごとにルールを一旦削除して復元します。
- マルウェアは、80番ポートに宛てられたデータとネットワークトラフィックを傍受し、以下のLinuxシェルコマンドを実行することにより、感染デバイスのネットワークアドレス(iptables)をポート8888にリダイレクトするように設定します。
- iptables -I INPUT -p tcp --dport 8888 -j ACCEPT
- iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8888
<補足>
侵入方法
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ELF_VPNFILT.D」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください