【マルウェア】中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明

話題・ネタ

2022.03.05

1 ：2022/03/04(金) 19:53:31.48 ID:euQbQ2yd9.net

サイバーセキュリティ企業・ノートンライフロックのThreatHunterチームが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と協力して、インターネットに直接接続されていないセキュリティで保護されたデバイスにリモートアクセスできるようになるマルウェア「Daxin」に関する情報を開示しました。

CISAによると、「Daxin」はインターネットに直接接続されていないセキュリティ的に保護された状態にあるはずの端末に、リモートでアクセスできるようにするための複雑で検知することが難しいコマンド＆コントロール機能を有した高度なルートキットバックドアです。Daxinを利用することで、攻撃者はターゲットネットワークに深く潜り込み、データを盗み出すことが可能となります。なお、ThreatHunterチームによると、Daxinは中国の攻撃者により展開された「最も先進的なバックドアのひとつ」だそうです。

Daxinの特徴のひとつは、マルウェアの世界ではあまり典型的ではない「Windowsカーネルドライバーをターゲットとしたマルウェアである」という点。Daxinは高いステルス性を有しており、それはデータ交換と通常のインターネットトラフィックを組み合わせた高度な通信機能に由来します。

Daxinは攻撃者に侵害されたコンピューターシステムへのリモートアクセスを提供するマルウェアというだけでなく、感染端末からデータを盗んだり、遠隔からコマンドを実行したり、別のマルウェアをインストールしたりすることも可能です。Daxinのようなマルウェアは通常、保護されたネットワークから情報を盗んだり、デバイスをさらに侵害したりするために使用されるため、ネットワークトラフィック監視ツールに検出されることを回避するため、データ転送に暗号化または難読化を施します。一方Daxinの場合、端末上のネットワークトラフィックを監視し、特定のパターンを検出してこれを真似ることでネットワーク監視から逃れるよう設計されているとのこと。そして、ネットワークトラフィックの特定パターンを検出したのち、正当なTCPコネクションをハイジャックすることで、攻撃者はコマンド＆コントロールサーバーと通信することが可能となります。DaxinがTCPコネクションをハイジャックすることで、攻撃者は悪意のある通信データを正当なトラフィックに偽装可能となるわけです。

ThreatHunterチームは「DaxinがTCPコネクションをハイジャックすることで、通信のステルス性が高まり、厳格なファイアウォールを使用してネットワーク上に接続を確立することが可能になります。これにより、セキュリティオペレーションセンター（SOC）アナリストがネットワーク上の異常を検出することが難しくなります」と記しています。

また、DaxinはTCPコネクションをハイジャックすることで感染デバイスを増やしていくため、感染源となる端末さえインターネットに接続されていれば、その他の端末がインターネットに接続されていなくても感染を広めることが可能です。他にも、Daxinの内蔵機能は感染した端末に追加のコンポーネントを配置することで拡張できます。この追加コンポーネントは32ビットのサービス識別子を特定ハンドルに関連付けるため、攻撃者はリモートから特定のメッセージを送信することで、このコンポーネントと通信することも可能となります。そのため、Daxinに感染した端末ネットワークの中で複雑な通信経路を確立することもでき、これにより悪意のあるトラフィックの検出が難しく、攻撃者が検知される可能性が「最小限に抑えられてしまう」というわけです。

ThreatHunterチームは、Daxinを用いる攻撃者が中国政府を後ろ盾とするハッキンググループ「Slug（別名：Owlproxy）」と関連することを発見しています。なお、Daxinは2013年に初めて検出されており、その時点で現在と同等の機能を有していたそうですが、しばらくの間はサイバー攻撃に使用された形跡はなかった模様。Daxinが関与する最新のサイバー攻撃は2021年11月に観測されたもので、電気通信・運輸・製造業関連の企業をターゲットとしたものだったそうです。

2022年03月02日 21時00分
https://gigazine.net/news/20220302-china-malware-daxin/

2 ：2022/03/04(金) 19:56:13.21 ID:PGNq3tgF0.net
物理わかんねえよ
潜伏アプリということ？

18 ：2022/03/04(金) 20:01:42.63 ID:we535mfh0.net
>>2

インターネットに接続できるマシンに潜伏したあとは
そこを起爆剤としてbluetoothとかプライベートIPとかローカルネットワークとか侵入できちゃうわけよ

52 ：2022/03/04(金) 20:30:17.79 ID:O70U/QHp0.net
>>18

別に今更言わなくても、アレクサが全部やってるじゃないｗ

40 ：2022/03/04(金) 20:13:57.27 ID:SLnru8E+0.net
>>2

単純に踏み台として動作するってだけ

3 ：2022/03/04(金) 19:56:22.29 ID:tAi6yTNx0.net
アメさんは支那も逃がす気は無いようですw

4 ：2022/03/04(金) 19:56:26.39 ID:cL8ojZ1A0.net
アメリカの選挙の不正で、ネットに繋がっていない投票機器とネット接続したTVがWiFi
で繋がって、TV経由でネット接続しているという話があったな

5 ：2022/03/04(金) 19:57:42.66 ID:sKV0r8le0.net
賢い人がおるな

6 ：2022/03/04(金) 19:58:23.93 ID:2AWTzRSZ0.net
インターネットつながってんじゃん
日本語読めないの？

33 ：2022/03/04(金) 20:10:24.82 ID:mu1oEKgy0.net
>>6
わかったぞ！おまえバカだろ！

7 ：2022/03/04(金) 19:58:29.10 ID:9ikY/oWR0.net
それはネットにつながっているのだろう

28 ：2022/03/04(金) 20:07:08.71 ID:93XGxFKW0.net
>>7

だよね

8 ：2022/03/04(金) 19:58:31.53 ID:mUnvYrL70.net
えぇ〜と
つまりそこにあるだけで空気感染すると？

19 ：2022/03/04(金) 20:01:48.72 ID:0rfv+5ix0.net
>>8

オミクロンみたいなものか

9 ：2022/03/04(金) 19:58:51.68 ID:8x8D96ve0.net
マルウェア引っかかった人は大ニュースを巻き起こした人だ

10 ：2022/03/04(金) 19:58:53.37 ID:H0E0Wg160.net
まじかよダスキン

11 ：2022/03/04(金) 19:59:03.11 ID:PGNq3tgF0.net
中国ニュースサイトで、
金正恩が死亡ニュースが流れたらしいんだけど、全5chで真偽探ってくれないかな、、、

14 ：2022/03/04(金) 19:59:58.66 ID:KQZm8m4h0.net
>>11

マジだったらどえらいニュースだぞそれ

31 ：2022/03/04(金) 20:07:35.73 ID:85g2GDo00.net
>>11

え？

37 ：2022/03/04(金) 20:11:40.15 ID:fDgt2Dov0.net
>>11

タイミング良すぎて
ガセとしても面白くない

12 ：2022/03/04(金) 19:59:18.23 ID:RMBBsjaG0.net
ある意味大発明と言うか便利なんじゃないのかい?
2000年製のテレビリモコンに侵入しオン・オフ出来るんだぜ

42 ：2022/03/04(金) 20:15:16.14 ID:SLnru8E+0.net
>>12

普通だよ

完全したサーバー経由で感染する
攻撃者の命令をサーバー経由で指示する
ってだけ
プロキシとして動くだけ

13 ：2022/03/04(金) 19:59:19.45 ID:GO+EAmMP0.net
プロキシか

15 ：2022/03/04(金) 20:00:24.39 ID:ia9uxV4D0.net
ネットワーク上にいるけどデフォルトゲートウェイとか設定してない端末とか想定してんのかな

16 ：2022/03/04(金) 20:00:58.83 ID:qY94qxWY0.net
情報抜くことにかけては一級品だな

49 ：2022/03/04(金) 20:26:10.96 ID:g2csz8ex0.net
>>16

抜いた情報を蓄積して一元化して処理することも一級品だよ

17 ：2022/03/04(金) 20:01:11.86 ID:vRKEZMQ50.net
>>1
そのPCは、確実にインターネットに繋がってる状態なのでは・・・

20 ：2022/03/04(金) 20:02:53.56 ID:/nIEa8qw0.net
＞感染源となる端末さえインターネットに接続されていれば、その他の端末がインターネットに接続されていなくても感染を広めることが可能です。
日本語変じゃね？
意味が解らん。

21 ：2022/03/04(金) 20:04:32.34 ID:4SOkD1VF0.net
外に繋いでなくても
無線オンにしたままは危ないってことだろ
MACアドレスなんてすぐわかるし

22 ：2022/03/04(金) 20:04:45.55 ID:pd25EH2U0.net
アイロンがネットに繋がってたとかいうアレだろ

23 ：2022/03/04(金) 20:04:59.78 ID:v/aWmiH50.net
地球の癌

24 ：2022/03/04(金) 20:05:26.72 ID:ART7tMRl0.net
なんか無線LANカメラとかの中華製を使ってると簡単に感染しそうだな…

25 ：2022/03/04(金) 20:05:52.43 ID:j+1HoxHq0.net
これは組織・団体による情報の秘匿が困難になりつつあることを示唆し
オープンな環境で全てが議論されねばならへんということです

26 ：2022/03/04(金) 20:06:27.80 ID:H65x3Pa00.net
>>1
中国を遮断すべき

27 ：2022/03/04(金) 20:06:57.63 ID:MBYsldOy0.net
つまりインターネットは危険だからやめましょうということ

29 ：2022/03/04(金) 20:07:14.60 ID:61NquqcE0.net
やっぱ電話FAX紙しかないのか

39 ：2022/03/04(金) 20:13:38.93 ID:jAsNXYVV0.net
>>29

プーチンは最高機密の文書をタイプライターで起案するよう指導してると聞いたな。

32 ：2022/03/04(金) 20:08:31.08 ID:UhFqM9Av0.net
ネットワークアダプタがあるならオフラインでも乗っ取れるってこと？

34 ：2022/03/04(金) 20:10:34.68 ID:UKk2qLEd0.net
中国ハイテクすぎで草

35 ：2022/03/04(金) 20:10:54.93 ID:h+kqhFo00.net
スタンドアロンにはノベルティのUSBとか高価なUSBにウイルス仕込んでターゲットの身辺に置くってスパイの実情番組みたいのでやってた
中東の核精製工場だか何かはそれで落としたって言ってた

最近の半導体関連工場の連続事故もこういう奴なんじゃって疑っちゃう

36 ：2022/03/04(金) 20:11:22.07 ID:kjFXhJby0.net
カーネルドライバにこのマルウェアをどうやって組み込むの？
意図せず組み込んがカーネルドライバがリリースされたケースなのか、運用中に
ストレージ上のデータが上書きされるのか、RAM上のデータが上書きされるのか
どれなの？