Cisco ASAデバイスを標的とするマルウェア「RayInitiator」および「LINE VIPER」に関するレポートメモ

英国立サイバーセキュリティセンター（NCSC）のレポートに基づき、Cisco ASAデバイスを標的とするマルウェア「RayInitiator」および「LINE VIPER」に関する情報をまとめる。 --- #### **概要** * **標的**: 主にセキュアブート機能を持たない旧式のCisco ASA 5500-Xシリーズ。観測された標的は、サポートが終了しているか、間もなく終了するモデルである。 * **脅威の構成**: 1. **RayInitiator**: 永続的な感染を確立するための多段階ブートキット。 2. **LINE VIPER**: RayInitiatorによって展開される、実際の攻撃活動を行うユーザーモードのペイロード。 * **特徴**: 以前のArcaneDoorキャンペーン（LINE DANCER等）から大幅に進化しており、特に持続性と隠蔽技術が強化されている。 #### **RayInitiator: 起動プロセスを乗っ取る持続化メカニズム** RayInitiatorは、OS起動前の段階で制御を奪うことで、駆除を極めて困難にする。 * **永続性**: デバイスの再起動やファームウェアのアップグレード後も活動を維持する。 * **感染プロセス**: * デバイスの起動ローダーであるGRUBを改ざんし、起動プロセスをハイジャックする。 * セキュアブート機能の欠如を悪用し、不正なコードの実行を可能にする。 * KASLR（Kernel Address Space Layout Randomization）のような防御機構を回避し、カーネルメモリ内に自身の後続ステージを配置する。 * 最終的に、Ciscoデバイスの主要なバイナリである`lina`内にフックを仕込み、LINE VIPERを展開する準備を整える。 #### **LINE VIPER: 高機能なペイロード** RayInitiatorによってメモリにロードされた後、LINE VIPERは多彩な悪意ある活動を実行する。 * **主な機能**: * **コマンド実行**: 最高権限（レベル15）で任意のCLIコマンド（例: `show vpn-sessiondb anyconnect`）を実行可能。 * **隠密パケットキャプチャ**: 通常の管理コマンドでは検知できない形でネットワーク通信を盗聴する。RADIUS、LDAP、TACACSなどの認証プロトコルのキャプチャが観測されている。 * **AAAバイパス**: 特定の攻撃者デバイスに対し、VPNの認証・認可・アカウンティング（AAA）チェックを迂回させ、不正アクセスを可能にする。 * **CLIコマンド収集**: 管理者が入力したCLIコマンドを収集する。 * **遅延リブート**: 設定した時間経過後にデバイスを強制的に再起動させる。 #### **高度な検出回避・アンチフォレンジック技術** LINE VIPERは、自身の存在を隠蔽し、調査を妨害するための機能を複数備えている。 * **Syslogの選択的抑制**: システムログ全体を停止するのではなく、自身の活動に関連する特定のSyslog ID（例: 302013, 609002, 710005）のみをピンポイントで抑制する。 * **メモリ上での隠蔽（Gargoyle技術）**: 普段はコードを実行不可能なデータ領域に置き、タスク実行の瞬間だけメモリページを実行可能（X）に変更し、完了後すぐに読み書き可能（RW）に戻す。これにより、メモリフォレンジックによる検出を困難にする。 * **調査妨害**: * コアダンプの生成を検知すると、ファイルを作成させずにデバイスを即座にリブートさせる。 * `copy`や`verify`コマンドでシステムファイル (`system:/text`) へのアクセスを検知すると、デバイスをリブートさせるか、改ざんを隠蔽して正常であるかのような偽のハッシュ値を返す。 #### **指令・制御（C2）通信** 攻撃者は、巧妙に設計された2つのチャネルを通じてマルウェアと通信する。 1. **VPNクライアント認証メソッド (HTTPS)**: * 正規のWebVPN認証リクエストに偽装して通信を行う。 * 通信は、被害者ごとに固有のRSA鍵と、通信ごとに生成されるAES-CBC-256鍵によって強力に暗号化されており、傍受しても解読はほぼ不可能である。 2. **ICMP & TCPメソッド**: * **タスキング (命令)**: VPNトンネル内部のLAN側インターフェースに対し、ICMP Echo Requestパケットで命令を送信する。外部からの監視が困難な経路である。 * **レスポンス (情報窃取)**: WAN側インターフェースから、Raw TCPパケットを使用して攻撃者のIPアドレスに応答を送信する。 #### **所感** セキュアブートを持たない旧式ハードウェアのライフサイクル管理の重要性を突きつけている。ファームウェアのアップデートだけでは防ぎきれない、ハードウェアレベルの根本的な脆弱性を突くこの攻撃手法は、同様のリスクを抱える他のレガシーシステムにとっても無視できない。 #### **参考資料** * [National Cyber Security Centre. (2025年9月25日). *Malware Analysis Report: RayInitiator & LINE VIPER* (Version 1.0)](https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf)