25/08/01 10:15:50.60 Lhqmsc8i.net
・回避不能なウィルスデータとその痕跡を完全に抹消するデータを送信できる
パンダ画像に潜む罠、AI生成マルウェア「Koske」の正体とは
2025/07/25 20:50
URLリンク(news.mynavi.jp)
>>無害に見えるJPEG画像をダウンロードさせる。これらの画像は「ポリグロットファイル」と呼ばれる形式であり、画像データに加えて悪意あるコードが末尾に埋め込まれている。このコードはメモリー上で直接実行され、従来のウイルス対策ソフトを回避する。C言語で書かれたルートキットとシェルスクリプトがそれぞれ実行され、システム内での痕跡を極力残さない構造となっている。
>>Koskeの持続性は、複数のレイヤーによって強化されている。.bashrcや.bash_logoutの改変により起動時の自動実行が設定され、さらに/etc/rc.localとカスタムsystemdサービスの連携で高い権限での永続実行が確保される。定期実行のためのcronジョブや、自動再起動機能付きのshellkoske.serviceも用意されており、一度感染すると除去が困難な構造を形成する。こうした設計が、AIによる自動化や最適化の成果である可能性が高い。
>>防御回避の面では、LD_PRELOADを悪用したルートキットの導入が際立っている。これは、標準的なシステム関数readdir()を乗っ取ることで、特定のプロセスやファイルを不可視化する手法だ。対象の文字列やPIDをフィルタリングし、ユーザーの監視ツールから完全に隠蔽する。さらに、DNS設定の書き換えやiptablesの初期化、プロキシ環境の強制変更などを通じて、C2通信の妨害を避ける設計となっている。これらの複雑な処理の自動化も、AI支援による可能性がある。