SlackやGithubを使ったバックドアの話。
先日Security-Nextで興味深い記事を見つけたので、ブログに残しておこうと思う。
http://www.security-next.com/103414
https://blog.trendmicro.co.jp/archives/20605
SLUBとは?
今回発見されたのは、「SLUB」と呼ばれるバックドア。政治に関するウェブサイトを用いて、水飲み場型攻撃として展開されていた。
今回の目玉は、このSLUBの構造にある。
SLUBはC&Cサーバ間の通信にSlackやGitHub、file.ioといった一般的なツールを使用していた。具体的には、
- コマンドの追加・送信→GitHub
- コマンドの実行結果の取得→Slack
- ファイルの送受信→file.io
このように3つのサービスを役割ごとに使い分けていた。
SLUBのここがスゴい
Slackやfile.ioなどのサービスはそれぞれの企業が通信内容を管理しているため、隠蔽しやすい。これがこのマルウェアのミソである。
またGitHubを使うことで、コマンド送信の際ターゲットがオフラインでも起動時に同期され作業の効率がよいとも考えられる。
コミュニケーションツールを使った通信手法は以前から指摘されていたようだが、Slackが悪用されたのは初めてのケース。SLUBに使われたサービスのアカウントはほとんど使用される直前に作成されていた。
思ったこと
朝通学中の電車の中でこの記事を読んで、SLUBを作成したクラッカーの発想力に感心した。一般ツールの通信の安全性を逆手にとったこの攻撃はとても大胆で面白い。
まさにこれからのマルウェアのトレンドになるのでは...?と思った。
これからもっと多様化し続けるであろうバックドア型マルウェア。なにか画期的なバックドア検知ツールを作ることはできないかな...
今度SLUBのレプリカのようなものを、Pythonで書いてみよう。