このホワイトペーパーは、Intezer社のレポート「Symbiote Deep-Dive: Analysis of a New, Nearly-Impossible-to-Detect Linux Threat」(BlackBerry社との共同研究)を翻訳して作成しています。
Symbiote(共生生物)とは、生物学で他の生物と共生している生物のことです。数ヶ月前、私たちは寄生的な行為を行う、未検出の新しいLinuxマルウェアを発見し、Symbioteと名付けました。
他のLinuxマルウェアと異なり、Symbioteは感染したマシンに被害を与える為に、他の実行中のプロセスを感染させます。スタンドアロン実行ファイルではなく、共有オブジェクトライブラリを使用して、実行中のすべてのプロセスにロードされ、ルートキット機能、資格情報の採取機能、リモートアクセス機能を脅威アクターに提供するのです。その主な目的は、資格情報を取得し、感染したマシンへのバックドアアクセスを容易にすることです。
Symbioteは高度に回避的なマルウェアで、感染の検出が困難な場合があります。私たちの調査では、Symbioteが高度な標的型攻撃や広範な攻撃に使われているという十分な証拠は見つかっていませんが、ネットワークテレメトリ、アンチウイルスやEDRなどのセキュリティツールを使用して、「感染」していないことを確認する必要があります。
・・・
(*)Intezer社は、独自の遺伝子マルウェア分析(生物の免疫システムの概念をマルウェア分析に再現する)技術によって、悪意ある不正なプログラムコードからクラウドインフラを守る、先鋭的なソリューションを提供するイスラエル発の企業です。
DNPは、Intezer社のソリューション「Intezer Protect」を日本国内の企業・組織向けに提供しています。詳しくはお問合わせください。
DNPは、Intezer社のソリューション「Intezer Protect」を日本国内の企業・組織向けに提供しています。詳しくはお問合わせください。