2025 年の 12 月に,CISA から vSphere の仮想化基盤を攻撃対象とした BRICKSTORM Backdoor の分析レポートが公開されています.
このレポートによると,BRICKSTORM は国家支援レベルの高度なバックドア型マルウェアで,主に某国政府と関連するサイバー攻撃者が使っているようです.攻撃の目的は標的システムに長期的に潜伏し続けること(persistent access)だそうなので,早期発見が被害拡大を防ぐためには重要となってきます.CISA のレポートにはバックドアが仕込まれているか確認するための YARA ルールが公開されているので,今回は Rubrik で取得した vCenter のバックアップデータを対象に Threat Hunt してみました,
RSC (Rubrik Security Cloud) の Data Threat Analytics で "HUNT" をクリックして Threat Hunts 画面の "START THREAT HUNT" をクリックして開始します.
今回は CISA 提供の YARA ルールを追加するので,"Threat Hunt Type" の選択画面で "Advanced Threat Hunt" にチェックを入れて "NEXT" をクリックします.
vCenter の VM 名にネーミングルールがあれば,検索してリストすることも出来ます.稼働中の vCenter で Threat Hunt 対象の VM にチェックして "NEXT" で進めます.
YARA ルールを追加するには "+ ADD IOC" をクリックします.
"IOC Type" で "YARA rule" を選択します.今回 CISA からは 2 つの YARA ルール(「実体バイナリ(BRICKSTORM 本体)」検出と「自己監視・自己復活の仕組み」検出)が提供されているので,"Threat Family" には判別しやすいように "BRICKSTORM Rule 1" と入れ,YARA rule を Copy & Paste して "ADD" をクリックします.
問題なく追加できたら,もう1つの YARA ルールも同様に追加して "NEXT" で進みます.
Threat Hunt に名前をつけて,"Custom time range" で Scan 対象期間と最大スナップショット数を指定します.私の環境では原則 Daily でバックアップ取得しているので,過去 30 日分を Scan 対象にしてみました.
効率的に Threat Hunt するために "Configure Filters" の設定を調整します."Stop Scanning a Snapshot After" で "1 IOC is found" を選択すると,何か 1 つでも検出したタイミングで Scan を終了することが出来ますが,今回は "All IOCs are found" にチェックを入れて全て検出するまで Scan を継続させてみます ."File Size Range" ですが,ヘルプでは一般的なマルウェアのサイズは 1,000 〜 15,000 バイトとのこと.しかしながら今回の CISA レポート中でマルウェアのメタデータを確認すると,最小が 1,497,344 バイトで,最大はなんと 26,603,668 バイトです.RSC の Threat Hunting では 15,000,000 バイトまでしか設定できないようなので,一旦 vnetd だけは諦めます.(他のマルウェア等が検出されたら個別に直接チェックかな?)
スクロール ダウンして "Include Files" に CISA レポート中の Table 9 と Table 10 の "Copied Location" に明記されているパスと,BRICKSTORM Backdoor が自分自身の再インストールで使うと思われるパスを追加して "NEXT" で進めます.
Scan 設定を確認したら Threat Hunt スタート!
あとはのんびり待ちましょう.
10 時間 45 分かかりましたが,4 つの vCenter で合計 99 個分のバックアップデータの Scan が完了しました.結果はマッチが 0 件だったので一安心です.赤枠で囲ったエリアをクリックすると詳細の確認が可能です.
SCANNED OBJECTS タブの一覧で Matched Snapshots 欄の "Completed" をクリックすると,いつ取得したバックアップに対して Scan が成功したかの一覧が確認出来ます.
PARAMETERS タブでは,Advanced Threat Hunt 開始前に設定した Scan 条件や YARA ルールの確認も可能です.
RSC の Threat Monitoring で Google Threat Intelligence (2026 年 1 月 12 日の時点で 1625677 個の IOC が登録済み) をベースにした Scan は実行されてはいるのですが,IOC の詳細については非公開とのことなので,今回の BRICKSTORM Backdoor 対応の IOC が含まれているかどうかはユーザー側で判断が出来ません.そんな時には積極的に Threat Hunt を試してみると,社畜も少しは安心して眠れるようになるかと思います(苦笑).
