🔥 この記事の詳細
2026-05-15 更新
C
月内に

Linuxにおいて、カーネルモジュールやルートキットを使用せずにプロセスを隠蔽する手法について解説しています

脆弱性🌐 英語ソース
📅 2026-05-15📰 xakep
📌 一言でいうと
Linuxにおいて、カーネルモジュールやルートキットを使用せずにプロセスを隠蔽する手法について解説しています。具体的には、`mount`コマンドの`MS_BIND`フラグを利用して`/proc`ディレクトリの一部を上書きし、特定のプロセス情報を不可視にするテクニックです。記事では、この手法の仕組み、straceによるシステムコールレベルの動作、およびauditdやPythonスクリプトを用いた検知方法について詳述しています。
🔍該当判定
  • 自社でLinuxサーバー(Ubuntu, CentOS, Debian等)を運用している
  • サーバー上でroot権限(管理者権限)を持つユーザーやプログラムが存在する
  • サーバーのプロセス監視や不正検知(EDR等)を導入していない、または設定が不十分である
上記いずれにも該当しない → 静観でOK
該当時の対応
1. auditdを導入し、mountシステムコールの不審な利用を監視すること。2. /proc/mounts を定期的に確認し、不自然なバインドマウントが存在しないかチェックすること。3. 特権ユーザーの行動監視を強化すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linuxにおけるbind mountを利用したプロセス隠蔽手法について

お疲れさまです。Linux環境における新しいプロセス隠蔽テクニックに関する情報共有です。

■ 概要
ルートキットのようなカーネルレベルの変更を行わず、標準の`mount`コマンド(MS_BINDフラグ)を用いて`/proc`配下のディレクトリを操作することで、特定のプロセスを`ps`などのツールから隠蔽する手法が公開されました。

■ 影響範囲
- Linux OS全般(特権権限を奪取されたシステム)

■ 対応手順
1. auditd ルールを設定し、不審な `mount` システムコールの実行を監視してください。
2. `/proc/mounts` を確認し、`/proc/[pid]` などの不自然なマウントポイントがないか点検してください。
3. 記事で紹介されている検知用Pythonスクリプト等の導入を検討してください。

■ 参考情報
- xakep: Гора с секретами. Скрываем процессы в Linux c помощью mount

対応優先度: 中
対応期限: 任意
Subject: [Info] Process Hiding Technique in Linux using Bind Mounts

Hi all,

We are sharing information regarding a technique used to hide processes in Linux environments.

■ Overview
An attacker with root privileges can hide specific processes from tools like `ps` by using the standard `mount` command with the `MS_BIND` flag to overlay directories within `/proc`, avoiding the need for traditional kernel-level rootkits.

■ Scope
- All Linux distributions (systems where root privileges are compromised).

■ Mitigation/Detection
1. Configure auditd rules to monitor suspicious `mount` system calls.
2. Regularly inspect `/proc/mounts` for unusual mount points targeting `/proc/[pid]`.
3. Consider implementing detection scripts to identify hidden processes by comparing process lists.

■ Reference
- xakep: Гора с секретами. Скрываем процессы в Linux c помощью mount

Priority: Medium
Deadline: N/A
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-15 のまとめ🔍 記事を検索