Linuxのnoexecフラグをバイパスする新手法 任意のコードが実行可能：セキュリティニュースアラート

The Hacker's Choiceは、Linuxシステムでnoexecフラグをバイパスする手法を発表した。この手法はBashと基本コマンドを組み合わせてメモリ上で直接バイナリーを実行するものとされている。

[後藤大地，有限会社オングス]

　国際的なハッカーグループThe Hacker’s Choice（以下、THC）は2024年10月10日（現地時間）、「Linux」システムのセキュリティ対策として広く利用されている「noexec」フラグをバイパスして任意のバイナリーを実行する新たな手法を発表した。この手法が悪用された場合、実行を許可していない制限された環境下において悪意のあるコードを実行される可能性がある。

noexecフラグ制限を突破する新たな攻撃手法が登場

　この手法はファイルレス実行の概念に基づいていており、「ptrace」や「mmap」といったシステムコールを使用せず、「Bash」の標準機能とインターネットから取得したデータを利用してシステムにファイルを残さずに任意のバイナリーを実行する。

　noexecフラグは特定のマウントされたファイルシステムバイナリーの実行を禁止するためのオプションだ。通常、このフラグが有効な領域に置かれたファイルは、読み取りや書き込みが実行できなくなる。そのためシステムのセキュリティを強化し、マルウェアの実行や不正なスクリプトの動作を防ぐための手段として広く利用されている。

　しかしTHCが発表した手法はnoexecフラグの制限を突破するものとされ、Bashと幾つかの基本的なコマンド（cat、cut、base64、dd）を組み合わせ、ファイルシステムに触れずにメモリで直接バイナリーを実行する。具体的にはBashのシェルコードが外部ソースからバイナリーを取得し、「memfd_create」というシステムコールを使用してメモリ内に仮想的なファイルとして格納し、メモリ空間に直接パイプして実行する。

　なお、THCによると、Bashだけでなく「Perl」や「PHP」を使用した場合においても同様の手法が可能とされている。Perlではコンテナ環境でも機能するとされ、PHPではシェルアクセスや実行権限がないWebクラウドプロバイダーでも使用できる。

　この手法によって、ファイルシステムへの書き込みが禁止されている環境や実行権限が制限されている環境において悪意のあるコードが実行されてしまう可能性がある。メモリ上で完結するこの手法はファイルシステムに痕跡を残さないため、セキュリティチームはリアルタイムでメモリを監視する必要があると指摘されている。