xzのバックドア、ステガノグラフィーで公開鍵を隠蔽する高度な処理
マイナビニュース / 2024年7月5日 12時12分
Kaspersky Labはこのほど、「XZ backdoor behavior inside OpenSSH|Securelist」において、圧縮ツールおよびライブラリの「xz」から発見されたバックドアの最新の分析結果を伝えた。xzのサプライチェーン攻撃の詳細は「xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ | TECH+(テックプラス)」から確認可能。
○バックドアの機能
Kaspersky Labの分析により、xz(sshd)に混入されたバックドアには次の機能が存在することが確認された。
クライアントがRSA証明書をSSH認証に使用した場合、RSAの係数データ構造から攻撃者のコマンドを抽出し、攻撃者のアクセスを識別する
バックドアの機械語の一部にはステガノグラフィー技術を悪用してED448の公開鍵が埋め込まれており、実行時に抽出およびゼロを鍵とするChaCha20を使用して復号化される
RSAから抽出される攻撃者のコマンドはChaCha20を使用して暗号化されており、先に復号化された公開鍵の先頭32バイトを鍵として復号化される
コマンドには「sshサーバ本来の公開鍵」とコマンド本体の電子署名が含まれている。バックドアは公開鍵を使用して電子署名を検証し、第3者によるハイジャックとリプレイ攻撃を防止する
攻撃者による不正アクセスのログを隠蔽する
認証なしで攻撃者のログインを可能にする
リモートコード実行(RCE: Remote Code Execution)機能の提供
○結論
バックドアの分析からステガノグラフィー技術を悪用した公開鍵の隠蔽や、署名によるハイジャックおよびリプレイ防止機能が確認された。これらは攻撃者に高度なセキュリティ関連技術があることを示している。また、長期にわたるソーシャルエンジニアリング攻撃を実施する計画性と能力から、高度に訓練されたサイバー犯罪グループの関与が疑われている。
このようなバックドアが日常的に広く使われるツールから発見されたことは脅威であり、同様のサプライチェーン攻撃が続くのではないかと懸念されている。そのため、すべてのユーザーには継続的なセキュリティ情報の収集および防衛策の実施が望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
認証なしでリモートコード実行 OpenSSHに“回帰”した脆弱性「regreSSHion」発覚
ITmedia NEWS / 2024年7月3日 8時0分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
人気ある生体認証デバイスに脆弱性、細工したQRコードで認証可能
マイナビニュース / 2024年6月13日 8時51分
-
ThinkPHPの古い脆弱性を悪用したサイバー攻撃を確認、注意を
マイナビニュース / 2024年6月12日 9時23分
ランキング
-
1「鬼すぎない?」 大正製薬の広告が“性差別”と物議…… 男女の“非対称性”に「昭和かな?」「時代にあってない」
ねとらぼ / 2024年7月4日 18時32分
-
2楽天ペイと楽天ポイントのキャンペーンまとめ【7月4日最新版】 楽天ペイアプリでポイント最大10倍もらえる
ITmedia Mobile / 2024年7月4日 10時5分
-
3「知らんかった」 Googleで“あるワード”を検索すると……? あまりに“癒やし”な「隠し機能」に5万いいね「延々とやっちゃう」
ねとらぼ / 2024年7月4日 20時45分
-
4「Thank you Buddies!」 櫻坂46、最新曲「自業自得」ライブ映像を公開 「これだよこれ!」「いきなり凄いものが…」反響続出
ねとらぼ / 2024年7月4日 20時53分
-
5「ドコモ光 1ギガ」旧プランを2025年6月に提供終了、解約金の安い新プランへ自動移行
マイナビニュース / 2024年7月4日 19時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)