OrBit Linuxルートキット：独自マルウェアから再利用可能なオープンソース攻撃ツールへ

共有ライブラリを悪用する感染メカニズム

多くのLinuxマルウェアは独立した実行ファイルとして動作しますが、OrBitは別のアプローチを取ります。

このルートキットは、共有ライブラリのロード処理を改変して悪意のコードを自動読み込みさせる仕組みを使います。具体的には、LD_PRELOAD などの仕組みを利用して関数呼び出しを横取りします。

この手法のメリットは攻撃者にとって非常に大きいものです。

• 正常なプロセス内部にマルウェア機能を隠せる
• セキュリティツールから通常の動作に見える
• システム関数をフックして情報を取得できる

研究では、数十のシステム関数をフックする能力が確認されています。

その結果、ルートキットはインストール後にシステム全体へ広がり、既存プロセスと新規プロセスの両方に影響します。

“独自マルウェア”からオープンソースフォークへ

当初の報告では、OrBitは高度にカスタム化された新しいマルウェアと考えられていました。

しかし後の分析では、公開されているMedusaルートキットのコードをベースにした改変版である可能性が指摘されています。

この発見は、脅威の理解を大きく変えました。

• 攻撃者がゼロからマルウェアを開発しているわけではない
• 公開コードをフォークして設定や機能を変更するだけで使える
• 複数の攻撃者が同じコードベースを利用できる

実際、複数年にわたる調査では異なる環境で複数のフォークや展開例が確認されています。

つまりOrBitは単一のマルウェアというより、再利用可能なルートキットのエコシステムと見るべき存在になっています。

OrBitで確認されている主な機能

SSH・sudo資格情報の窃取

OrBitはSSHおよびsudoの認証情報を収集し、攻撃者が権限昇格や横展開（lateral movement）を行う足がかりにします。

プロセス全体へのフック

共有ライブラリを通じてコードを注入するため、既存プロセスと新規プロセスの両方に影響します。

コマンドログの収集

ユーザーが実行したコマンドやその出力を収集し、感染システム内の隠しファイルに保存することがあります。

高度なステルス性

正規プロセス内で動作し、システム関数をフックするため、多くの従来型セキュリティツールでは検知が難しいとされています。

初期侵入経路：分かっていることと不明点

OrBitの侵入後の挙動については多くの研究がありますが、最初の侵入方法については公開情報が限られています。

確認されている点は以下です。

• 完全な展開にはroot権限などの高権限が必要
• 永続型またはメモリ常駐型としてインストール可能

一方で、次のような具体的な侵入手段については信頼できる公開証拠が不足しています。

• フィッシング
• 脆弱性エクスプロイト
• SSHブルートフォース
• サプライチェーン攻撃

防御側が監視すべき主要な兆候（Indicators）

OrBitはフォークによって変化するため、ファイルハッシュよりも振る舞いベースの検知が重要です。

不審な共有ライブラリのロード

動的リンカー設定や共有ライブラリの挙動の異常は重要な手がかりになります。

SSH / sudo認証フローへの不審アクセス

認証処理に対するフックやアクセスの増加は、資格情報窃取の兆候の可能性があります。

多数プロセスへのライブラリ注入

システム内の多数プロセスに同一の不審ライブラリがロードされている場合、ルートキット活動の可能性があります。

隠しファイルへのコマンド出力保存

例として、/tmp/.orbit のようなファイルにコマンド出力が保存されるケースが報告されています。

LinuxルートキットのIOC

既知のLinuxルートキットのIOCコレクションを利用したフォレンジック分析も有効です。

なぜOrBitが企業にとって重要なのか

OrBitの最大のポイントは、そのステルス性だけではなく再利用性にあります。

オープンソースのルートキットから派生しているため、攻撃者は簡単にコードをフォークして変更できます。その結果、Linuxを利用する以下の環境が広く標的になる可能性があります。

• クラウドサーバー
• DevOps環境
• 企業のLinuxインフラ

そのため防御側は、OrBitを単一のマルウェアとしてではなく、

「共有ライブラリハイジャック＋資格情報窃取＋プロセス全体への常駐」

という攻撃パターンとして検知・監視することが、将来の派生版への対策として最も効果的と考えられます。