Red Hat Enterprise Linux 上のルートキット、トロイの木馬、マルウェア
ルートキット、トロイの木馬、およびその他の形式のマルウェアは長期にわたり存在しており、さらには新しいものが定期的に作成されています。 その中には、データへのアクセスを復元する前に資金を要求してユーザーのデータを暗号化する、ランサムウェアと呼ばれる新しいマルウェアが含まれます。
ワームは通常、CVE 番号、不十分な構成、弱い認証情報などで特定された既知の脆弱性を悪用します。 セキュリティー修正が利用可能になった時点で修正を適用してシステムを最新の状態に保つことが、ワームへの露出を制限する最善の方法です。 ほとんどのワームは、悪用する特定のソフトウェアと、そのソフトウェアの特定の脆弱性 (CVE) に関連付けられています。 そのような場合、システムがその CVE に対して脆弱かどうかを確認することで、そのワームに対して脆弱か確認できます。
対照的に、ルートキットとトロイの木馬は通常、悪用後にインストールされるか、ユーザーをだまして悪意のあるプログラムを実行させます。 以下に概説するように、強力なセキュリティー対策に従うことが、あらゆる種類のマルウェアからシステムを保護する最善の方法です。
定期的に、特定の種類のマルウェアがメディアで注目を集め、特定のソフトウェアスイートに脆弱性があるかどうか、またはその存在をどのように検出するかについて問われることがあります。 通常、セキュリティー更新が遅れている、脆弱な構成をデプロイしている、またはユーザーによる信頼できないソフトウェアの実行を許可している場合、特定のマルウェアに対する脆弱性が生じます。
通常、マルウェアによる不正アクセスは、攻撃者による不正アクセスと同じ兆候をログと監視に示します。 Intrusion Detection System [IDS] も警告を発する場合があります。 不正アクセスの兆候が検出された場合、エスカレーションの起点は組織のセキュリティチームでなければなりません。 セキュリティーチームには、必要な証拠をすべて保存し、システムを安全で正常な状態に復元するためのプロセスがあります。通常、そのプロセスには、ストレージの完全な消去と、信頼できるバックアップからの再インストールまたは復元が含まれます。
攻撃者が使用する最も一般的な方法は、ソーシャルエンジニアリングと、利用可能な 1 つ以上の不具合の活用です。 そのため、危険にさらされる可能性を減らすために、セキュリティーの一般的なベストプラクティスを厳守することが強く推奨されます。 その他のプラクティスは以下のとおりです。
- 信頼できるソースからのみソフトウェア/パッケージをインストールしていること、および利用可能な最新のセキュリティー修正で定期的に更新されていることを確認します (RHEL7 セキュリティーガイド、第 3 章、RHEL8 セキュリティー更新の管理とモニタリング を参照)。
- 構成とその影響を徹底的に確認します (RHEL7 セキュリティーガイド、第 4 章、RHEL8 強化ガイド を参照)。
- テスト/ステージング/開発/評価システムの公開を制限します。 実稼働システムおよびその他のシステムが相互に公開されないようにし、適切な匿名化およびサニタイズを行わずにテストシステムで実稼働データが使用されないようにします。
- 適切なバックアップローテーションと通常の復元テストを備えた適切なバックアップソリューションがあることを確認します。 ランサムウェアやその他の攻撃からバックアップインフラストラクチャーを保護するために、適切な制御が実施されていることを確認します。
- パスワードが強力で、定期的に変更され、ユーザーの管理下にあることを確認します。
- 安全な行動を厳守する (たとえば、信頼できない URL をクリックしたり、信頼できないプログラムを実行したりしない) ようユーザーを訓練し、注意喚起します。
- ユーザーとプロセスに最低限必要なパーミッションのみ付与します。 最小限の権限と責任の分離の原則を厳格に適用します。
- 利用可能なウイルス対策プログラムにまだ実装されていないマルウェアまたはネットワークトラフィックの署名を検出するために、署名ベースの検出方法の使用を検討してください。
- SELinux ポリシーを適用することで、システムの露出と不正アクセスのリスクを制限する機能が強化されます。
システムの疑わしい動作が検出された場合、システム管理者は直ちに社内のコンピューターセキュリティーチームに警告し、完全な分析を実行する必要があります。
過去のマルウェアに関する記事
- HiddenWasp - https://access.redhat.com/solutions/4192011
- CrossRat - https://access.redhat.com/solutions/3336311
- Erebus - https://access.redhat.com/solutions/3094421
- Drovorub / Drovorun - https://access.redhat.com/articles/5320961
- Trickbot - https://access.redhat.com/solutions/5551661
このアーティクル記事に記載されているアドバイスは、次の公開記事に関連しています。
| 公開元 | 記事のリンク | 公開日 |
|---|---|---|
| BlackBerry Research and Intelligence Team | Decade of the RATs: Novel APT Attacks Targeting Linux, Windows and Android | 2020 年 4 月 |
| FBI & NSA | Drovorub Malware (PDF) | 2020 年 8 月 |
| ZD Net | Linux version of RansomEXX ransomware discovered | 2020 年 11 月 |
| Intezer | New Linux Backdoor RedXOR ... | 2021 年 3 月 |
| NetLab | RotaJakiro: A long live secret backdoor ... | 2021 年 4 月 |
| TrendMicro | Bash Ransomware DarkRadiation Targets Red Hat- and Debian-based Linux Distributions | 2021 年 6 月/202 |
| Intezer | Vermilion Strike: Linux and Windows Re-implementation of Cobalt Strike | 2021 年 9 月 |
その他の関連記事
一部、サポート対象外の記事もあるので注意してください。
- Red Hat Enterprise Linux 8: セキュリティー更新の管理とモニタリング
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/managing_and_monitoring_security_updates/index - Red Hat Enterprise Linux 8: セキュリティー強化ガイド
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/index - Red Hat Enterprise Linux 7 セキュリティーガイド
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/index - Red Hat 製品セキュリティーセンター
https://access.redhat.com/security/ - Is it possible to limit yum so that it lists or installs only security updates?
https://access.redhat.com/solutions/10021 - What rootkit scanners are available in Red Hat Enterprise Linux?
https://access.redhat.com/solutions/21572 - What to do if a server is hacked? Will Red Hat assist with the development of security rules and policies and root cause? https://access.redhat.com/solutions/769253
Comments