Linuxのnoexecフラグをバイパスする新手法 任意のコードが実行可能:セキュリティニュースアラート
The Hacker's Choiceは、Linuxシステムでnoexecフラグをバイパスする手法を発表した。この手法はBashと基本コマンドを組み合わせてメモリ上で直接バイナリーを実行するものとされている。
国際的なハッカーグループThe Hacker’s Choice(以下、THC)は2024年10月10日(現地時間)、「Linux」システムのセキュリティ対策として広く利用されている「noexec」フラグをバイパスして任意のバイナリーを実行する新たな手法を発表した。この手法が悪用された場合、実行を許可していない制限された環境下において悪意のあるコードを実行される可能性がある。
noexecフラグ制限を突破する新たな攻撃手法が登場
この手法はファイルレス実行の概念に基づいていており、「ptrace」や「mmap」といったシステムコールを使用せず、「Bash」の標準機能とインターネットから取得したデータを利用してシステムにファイルを残さずに任意のバイナリーを実行する。
noexecフラグは特定のマウントされたファイルシステムバイナリーの実行を禁止するためのオプションだ。通常、このフラグが有効な領域に置かれたファイルは、読み取りや書き込みが実行できなくなる。そのためシステムのセキュリティを強化し、マルウェアの実行や不正なスクリプトの動作を防ぐための手段として広く利用されている。
しかしTHCが発表した手法はnoexecフラグの制限を突破するものとされ、Bashと幾つかの基本的なコマンド(cat、cut、base64、dd)を組み合わせ、ファイルシステムに触れずにメモリで直接バイナリーを実行する。具体的にはBashのシェルコードが外部ソースからバイナリーを取得し、「memfd_create」というシステムコールを使用してメモリ内に仮想的なファイルとして格納し、メモリ空間に直接パイプして実行する。
なお、THCによると、Bashだけでなく「Perl」や「PHP」を使用した場合においても同様の手法が可能とされている。Perlではコンテナ環境でも機能するとされ、PHPではシェルアクセスや実行権限がないWebクラウドプロバイダーでも使用できる。
この手法によって、ファイルシステムへの書き込みが禁止されている環境や実行権限が制限されている環境において悪意のあるコードが実行されてしまう可能性がある。メモリ上で完結するこの手法はファイルシステムに痕跡を残さないため、セキュリティチームはリアルタイムでメモリを監視する必要があると指摘されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
世界中のLinuxサーバを狙うステルス型マルウェア「perfctl」が登場 検出方法は?
Aqua SecurityはLinuxサーバを標的にする新しいステルス型のマルウェア「perfctl」を発見した。perfctlはシステム内で自身を隠蔽する高度な能力を持っており、システム管理者らの検出を回避する動きを見せるという。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。