Linuxの脅威や「モノのインターネット(Internet of things, IoT)」マルウェアのリサーチャは、複数のマルウェア検体を扱うことの難しさをよく分かっているでしょう。IoTマルウェアの検体は通常、複数のアーキテクチャで実行可能となるよう形式変換されているため、処理と分類が難しいものです。また、それら複数種類のファイルを調査するためのツールや手法も不足しています。IoTおよびLinuxマルウェアのリサーチャにとって、Linuxの実行可能形式である「Executable and Linkable Format (ELF)」ファイルの調査が容易になるように、トレンドマイクロでは、「Trendmicro ELF Hash(telfhash)」を作成しました。「telfhash」は、Linux IoTマルウェアの検体を効果的に分類するのに役立つ、オープンソースのクラスタリングアルゴリズムです。つまり、telfhashは、シンボルテーブルハッシュとの間には決定的な違いが一部あるとはいえ、ELFファイルのインポートハッシュ(ImpHash)に類似した概念として理解可能です。トレンドマイクロは今年4月、このアルゴリズムを初めて公開しました。そしてこの度、telfhashはマルウェア検査サービス「VirusTotal」上で正式にサポートされる運びとなりました。
トレンドマイクロは、何時間にもわたる綿密なコーディングと徹底的な試験(余談ですが、このプロセス中にGo言語コンパイラの不具合を発見しました)を行った後、世界中のセキュリティリサーチャがtelfhashにさらに広範的にアクセスできるようにしました。VirusTotal は、長年にわたり脅威の調査に役立つツールとして認識されています。現在、telfhashを使用すると、 「VirusTotal Intelligence」プラットフォームを利用するユーザは、1つのELFファイルから関連する別ファイルを確認することも可能です。
telfhashはELFファイルを扱うため、IoTの脅威分析だけでなくその先の研究でも役立つでしょう。このクラスタリングアルゴリズムは、Dockerコンテナ、Windows Subsystem for Linux(WSL)、暗号資産発掘ツール、ルートキットなどに関連した一部の攻撃解析など、Linux関連のマルウェア研究にも使用可能です。また、マルウェアの亜種がクロスプラットフォームの脅威となる場合にも特に役立ちます。
■telfhashはマルウェア調査においてどう役立つのか
SHA-256値「bb7d9a56a549b5c760155561a22dbf25b3b24449c64bfd46bee621156bf7f9dc」を持つ検体のハッシュ値について考えてみましょう。この検体は、IoTマルウェア「Mirai」に関連付けられた32ビットのELF実行可能ファイルです。ハッシュを使用して検索したところ、検索結果の「詳細(DETAILS)」部分でtelfhash値を確認しました。
」部分のtelfhash値.png)
図1:検索結果の「詳細(DETAILS)」部分のtelfhash値
VirusTotal Intelligenceを利用するユーザは、このtelfhash値をクリックして、対象のtelfhashに一致するELFファイルを検索可能です。この特定の検体でこの手順を実行したところ、検索には以下の図2の7つのファイルが表示されました。
図2:telfhashを使用した検索結果
「挙動(BEHAVIOR)」タブには、見つかった検体に関する有用な情報が表示されます。カバーされていないデータには、連絡先のIPアドレスとコマンドアンドコントロール(C&C)のURLが含まれ、大抵の調査に強く関連するネットワークインジケータが明らかになります。これは、単一のIoTマルウェアハッシュから他の7つのハッシュに正常にピボットする例です。
」タブ.png)
図3: 64ビットの検体の一つで見られる「挙動(BEHAVIOR)」タブ
この検索結果には、64ビットのELFファイルも含まれることに注視しましょう。このファイルが含まれるのは、telfhashがアーキテクチャに依存しないためです。この詳細については、このクラスタリングアルゴリズムを解説した以前の記事をご覧ください。
telfhashは、VirusTotalAPIからも利用可能となっています。このtelfhashにより、IoTマルウェアとの継続的な戦いにおいて、業界がより良い対策を講じることができるようになれば幸いです。トレンドマイクロは、すべてのセキュリティリサーチャがより効果的にELFマルウェアハンティング(LinuxやIoTの脅威調査)ができるようになってほしいと願っています。
参考記事:
- 「VirusTotal Now Supports Trend Micro ELF Hash」
By Fernando Merces
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)