2016年末、Linux を搭載した IoT機器を狙う「Mirai」(「ELF_MIRAI」ファミリとして検出)による、大規模な「分散型サービス拒否(DDoS)」攻撃が数々の被害を発生させました。これらの事例は、「モノのインターネット(Internet of Things、IoT)」のエコシステムが、機能していない事実を明らかにしました。Mirai は、さらに拡散範囲を拡大するべく、今度は Windows PC を踏み台とするための機能を取り入れ、再び注目を集めています。
トレンドマイクロは、2017年脅威予測において、「Mirai と同様のマルウェアを利用した DDoS攻撃の増加」を指摘していますが、今回入手したWindows版マルウェア(「BKDR_MIRAI.A」として検出)は、Mirai同様の機能を持つものではありません。Mirai の感染対象である Linux機器を探し、Mirai 本体を拡散させ、最終的にMirai のボットネットを拡大させることを目的としたものです。これまでMiraiは特定範囲のIPアドレスに対しブルートフォース(総当り)攻撃を行い、自身のボットネットを拡大していました。今後はこの「BKDR_MIRAI.A」により、Windows環境からも「Mirai」のボットネットが拡大されることになります。
「BKDR_MIRAI.A」は、コマンド&コントロール(C&C)サーバに接続し、スキャンする IPアドレスリストを受信します。システムにログインできた場合、感染端末および機器のオペレーティングシステム(OS)を確認します。Linux機器であった場合は、そこにマルウェアMirai を作成し、新しいボットとして利用します。機器の OS が Windows であった場合、マルウェアは、そこに自身のコピーを作成し、Linux機器の探索を継続します。マルウェアは、Linux用と Windows用の2種類のマルウェアを作成します。
2016年8月に最初に確認された「Mirai」は、Linux のファームウェアを搭載した IoT機器(ルータ、デジタルビデオレコーダ(DVR)、プリンタ、監視カメラなど)を対象としていました。これらの IoT機器に感染させるために、マルウェアは、無作為に IPを選択し、デフォルトの管理認証情報を試行し、ポート7547 と 5555(TCP/UDP)、23(Telnet)、22(SSH)を介している機器を乗っ取ります。Mirai による攻撃は、そのソースコードが 2016年10月に公開されて以来、増加しています。大手 Webサイト「Netflix」、「Reddit」、「Twitter」、「AirBnB」などへの攻撃や、ドイツの大手 ISP「Deutsche Telekom(ドイツテレコム)」の 90万台の家庭用ルータに影響を与えた事例には、Mirai の亜種が利用されていました。
図1:Windowsを狙うマルウェアによるポートスキャンのコード
Windows を狙うマルウェアは、Linux を狙う最初の Mirai よりも多くのポートが追加されており、攻撃対象を可能な限り拡大しています。マルウェアは、以下のポートがオープンであるかどうかをチェックします。
- 22(SSH)
- 23(Telnet)
- 135(DCE / RPC)
- 445(Active Directory)
- 1433(MSSQL)
- 3306(MySQL)
- 3389(RDP)
これらのポートは、配信されたソフトウェアの追加や上書き、ファイルの共有、および遠隔の端末管理など、さまざまな理由から、通常、オープンに設定されています。
マルウェアが狙うポートから、マルウェアは、MySQL や Microsoft SQL Server データベース等、Windows PC で使用されているソフトウェアの識別する役割も果たすと考えられます。これらのいずれかであると識別されると、マルウェアは、管理者権限を持つ新規ユーザを作成します。具体的には、例えば感染機器が Microsoft SQL Server を使用していた場合、sysadmin権限を持つデータベースのユーザとして “Mssqla”を作成します。悪意のあるユーザが、管理者レベルのアクセス権限を得ることにより、サーバ全体の環境設定オプションの変更、サーバのシャットダウン、ログイン情報とプロパティの変更、実行中のプロセス終了、BULK INSERT命令文の実行、データベースの作成・変更・削除・復元が可能になります。
この Windows版マルウェアは、Mirai の拡散専用に設計されていますが、機能が拡大される可能性もあります。このマルウェアは、容易に別のマルウェアを拡散するように修正することが可能です。しかも、Windows PC を狙う手口は、Mirai の活動拡大に役立つと言えます。
このマルウェアは、感染した機器が接続しているネットワーク内の IoT機器への侵入にも利用されるおそれがあります。ホームネットワークの IPアドレスは大抵、予測が可能です。ほとんどの家庭用ルータは 192.168.x.x の IPアドレス空間を使用しています。Windows版マルウェアは、マルウェアの C&Cサーバから IPアドレスを指示し、C&Cサーバはマルウェアを送り込んだ機器に、ローカルの IPアドレス空間をスキャンするよう命令することが可能です。こうして、ネットワーク内のデフォルトのパスワードを利用するすべての IoT機器が感染することになります。
■トレンドマイクロの対策
トレンドマイクロの「Trend Micro Smart Home Network™」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、トレンドマイクロがクラウド上に保有するWebレピュテーションデータベースと連携し、フィッシング詐欺サイトやマルウェアの配布サイトなど不正サイトへのアクセスをブロックします。また、家庭内に接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックし、ルータなどの脆弱性を悪用する攻撃に対応します。
またルータに接続する PC やスマホにも「ウイルスバスター クラウド」のようなセキュリティ対策製品を導入し、多層での防御を行うことが有効です。
トレンドマイクロではホームネットワーク用オンラインスキャンとして、「オンラインスキャン for Home Network」を無料で提供しています。「オンラインスキャン for Home Network」は、ホームネットワークをスキャンし、Wi-Fiルータや Webカメラなど、現在ホームネットワークにつながっている機器を確認できます。加えて、各機器のセキュリティの問題点と解決策を提示してくれるため、それをもとに適切なセキュリティ設定を行うことができます。
家庭用ルータを狙う脅威やホームネットワークのセキュリティ対策についての詳細は、リサーチペーパー「Securing Your Home Routers: Understanding Attacks and Defense Strategies」(英語)もあわせて参照ください。
ネットワークセキュリティ対策製品「TippingPoint」では、以下の MainlineDVフィルターにより今回の脅威をブロックします。
- 27134: HTTP: BKDR_MIRAI.A Checkin
トレンドマイクロの解析した「BKDR_MIRAI.A」検体のSHA1ハッシュは以下のとおりです:
- 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e
- F97E8145E1E818F17779A8B136370C24DA67A6A5
- 9575D5EDB955E8E57D5886E1CF93F54F52912238
- 938715263e1e24f3e3d82d72b4e1d2b60ab187b8
※協力執筆者:Julie Cabuhat
参考記事:
- 「Mirai Widens Distribution with New Trojan that Scans More Ports」
by Giannina Escueta (Technical Communications)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)