2018 年 1 月 8 日、セキュリティリサーチャが、仮想通貨発掘ソフトウェア「Claymore」を乗っ取る新しい「Satori(サトリ)」の亜種(「ELF_MIRAI.AUSV」、「ELF64_MIRAI.D」として検出)を確認したと発表しました。この亜種は端末所有者の発掘設定を攻撃者のものに書き換えることで発掘した仮想通貨を窃取します。新しい亜種のコードを解析したところ、背後にいる攻撃者は従来の Satori と同じであることを示す結果が得られたとのことです。
「Mirai Okiru」(「ELF_MIRAI.AUSR」として検出)としても知られている Satori は、有名サイトをダウンさせたことで悪名高い IoT ボット「Mirai」の後継的存在です。最近では、2017 年 12 月に Satori による攻撃が確認されており、たった 12 時間で 28万 個の IP アドレスが影響を受けました。
報告によると、今回確認された新しい Satori の亜種は、元の攻撃コード(エクスプロイトコード)をそのまま保持しつつ、以前の Satori とは異なり「モノのインターネット(Internet of Things、IoT)」機器やネットワーク機器を狙わない新しい攻撃コードを追加していました。この新しい亜種は 3333 番ポートをスキャンし、仮想通貨発掘ソフトウェア Claymore に特化した攻撃コードを展開します。リサーチャによると、この新しい Satori は、Claymore の管理インターフェイスに影響を与える脆弱性を突き、認証無しで機器にアクセスすることが可能です。次に、Satori は発掘された仮想通貨「Ether(ETH)」が攻撃者のウォレットに入るように Claymore の発掘設定を書き換えます。
この新しい Satori の亜種の攻撃者は、乗っ取った Claymore を利用して 10 日間で 1.0100710 ETH(2018 年 1 月 25 日時点で約 120,769 円)を発掘したと報告されています。Claymore を使用しているユーザは、発掘設定が変更されていないか確認し、ソフトウェアが最新版に更新されていることを確かめてください。
家庭および企業のネットワークに接続する IoT 機器の急増に伴い、それらの機器を対象に「分散型サービス拒否(distributed denial-of-service、DDoS)」や DNS 設定の変更、不正な仮想通貨発掘のような攻撃を仕掛ける Satori は重大な影響を及ぼす脅威の 1 つとなっています。
■被害に遭わないためには
脆弱な家庭用ネットワークは端末および所有者のプライバシーを危険にさらします。ユーザは以下のようなベストプラクティスに従い、ボットへの感染を防いでください。
- 機能と使いやすさだけでなくセキュリティとプライバシーの保護を重視している機器を選ぶ
- 機器の認証情報を初期設定から変更し不正アクセスの可能性を減らす
- ソフトウェアおよびファームウェアを更新し脆弱性攻撃を防ぐ
- ルータに組み込まれたファイアウォールを有効化しセキュリティ層を追加する
■トレンドマイクロの対策
「ウイルスバスター クラウド」は、エンドポイントレベルでマルウェアを検出できるセキュリティ機能を備え、この脅威に対する効果的な保護を提供します。また、家庭のネットワークに接続する機器を外部からの攻撃や有害サイトへのアクセスから防御するホームネットワークセキュリティ「ウイルスバスター for Home Network」や「Trend Micro Smart Home Network™」によって、ルータとそれに接続している機器間のインターネットトラフィックをチェックできます。企業ユーザは、ネットワーク型対策製品「Deep Discovery™ Inspector」によって、すべてのポートと 105 以上の通信プロトコルを監視し、標的型攻撃や他の高度な脅威を検出することができます。
「ウイルスバスター for Home Network」、「Trend Micro Smart Home Network™」は、以下の検出ルールによってこの脅威を検知します。
- 1134286 WEB Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361)
- 1134287 WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
参考記事:
- 「New Satori Variant Found Targeting Claymore Mining Software to Mine Ethereum」
by TrendLabs Philippines
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)