Linuxのマルウェア記事を三つ。
いずれも、検出方法がオリジナルサイト(英語)に詳しいので、併せて載せた。
Linuxバックドア「RotaJakiro」発見の報告 少なくとも3年前から活動か (05/01)
https://www.itmedia.co.jp/enterprise/articles/2104/30/news119.html
『TCP 443経由で、4つのドメインと通信する不審なバイナリファイルを検出した。 HTTPSと同じポートを使っているにもかかわらず、TLS/SSLが使われていなかった。』
この『4つのドメイン』他、一次情報サイト(↓)に詳しい。
RotaJakiro: A long live secret backdoor with 0 VT detection (04/28)
https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/
検出済みのマルウェアのファイル名等も載っているので、一度見ておくと良いだろう。
Linuxサーバが標的 検出しにくいマルウェア「DreamBus」 (01/26)
https://www.itmedia.co.jp/enterprise/articles/2101/26/news123.html
『セキュリティ製品の多くがDreamBusモジュールを検出できない
DreamBusはワームとしての特徴を備えており、さまざまな方法を使ってインターネット経由ないし内部ネットワークにおいて、横方向へ広がる
DreamBus自体がモジュラー形式の構造を取っており、さまざまな機能を後付けできる仕組みになっており、拡張性が高い』
DreamBus Botnet – Technical Analysis
https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis
『The malware can spread to systems that are not directly exposed to the internet by scanning private RFC 1918 subnet ranges for vulnerable systems
DreamBus uses a combination of implicit trust, application-specific exploits, and weak passwords to gain access to systems such as databases, cloud-based applications, and IT administration tools』
検出(Detections)の為の IOCs(Indicators of Compromise)として、
SHA256 Hash値、Domain / IP address、ファイル名 や
Yara rules, Snort rules も提示されている。
Linuxに新バックドア「RedXOR」発見、増え続けるLinux標的マルウェアの脅威 (01/26)
https://www.itmedia.co.jp/enterprise/articles/2103/12/news149.html『RedXORは現在のところ、中国の脅威アクターが標的とすることが多いインドネシアおよび台湾を狙っている .. この攻撃がかなり洗練されたものだ ..
「polkitデーモン」になりすましてサーバに居座る』
New Linux Backdoor RedXOR Likely Operated by Chinese Nation-State Actor (03/10)
https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/
Detection & Response として Intezer Labs社のfree community editionが使えるらしい。同製品のスクリーンショットが載っている。直感的で使いやすそうなインターフェイスではある。
Linux系antivirus の今日現在のグーグルヒット件数は次の通りだった。
・ClamAV 1.2百万件
・intezer 0.3百万件
・LMD maldetect 3.7千件
・Dr.Web Antivirus for Linux 0.8千件
・NOD32 Antivirus for Linux Desktop 30千件
IoCsとして、ドメイン/IP、プロセス名、作成されるファイルとディレクトリ等が掲載されている。