ネットワーク機器を狙う IoT ボット「VPNFilter」、世界で 50 万台以上に感染

セキュリティリサーチャの報告によると、少なくとも世界 54 カ国で 50 万台以上の家庭用または小規模オフィス用ルータが「VPNFilter」と名付けられたマルウェアに感染しました。VPNFilter は、感染機器の管理、ファイルや認証情報の収集、「監視制御データ収集(Supervisory Control And Data Acquisition、SCADA)」プロトコルの傍受、機器を使用不可にする「kill」コマンドの実行などの機能を備えています。この kill コマンドは、個別の機器で実行することも、複数の機器でまとめて実行することも可能です。VPNFilter の活動は 2016 年から確認されていましたが、2018 年 5 月上旬にウクライナを中心として大量の感染が確認されたことを受け、その危険度の高さからリサーチャがレポートの公開に踏み切りました。

■VPNFilter による多段階の攻撃

VPNFilter は、モジュール化によって多段階の攻撃を実行する巧妙なマルウェアです。一般消費者向けのルータおよび「Network Attached Storage(NAS)」を対象として、三段階の攻撃を行います。

第一段階のマルウェア(「ELF_VPNFILT.A」として検出)の目的は、コマンド&コントロール(C&C)サーバを特定し、次の段階で利用するマルウェアをダウンロードすることと、感染機器における持続的な活動の確立です。対象となる機器は、Unix の標準コマンドを 1 つの実行ファイルにまとめた「BusyBox」と Linux に基づいたファームウェアを実行する機器です。C&C サーバの IP アドレスは、画像ホスティングサービス「Photobucket.com」からダウンロードした画像から抽出します。C&C 通信の仕組みには冗長性があり、Photobucket からのダウンロードに失敗した場合、別のドメイン「ToknowAll[.]com」から画像をダウンロードします。これにも失敗すると、VPNFilter は攻撃者からのパケットを待機するリスナーを起動し、公開 API 「api.ipify.org」にアクセスして自身の IP アドレスを調べ、後から利用するために保存します。攻撃者からのパケットには、第二段階のマルウェアをダウンロードするための IP アドレスが含まれています。また、非揮発性メモリにジョブを登録することにより、機器の再起動後にも活動を持続します。

第二段階のマルウェア(「ELF_VPNFILT.B」として検出)は、ファイル収集、コマンド実行、機器管理、データ送出のような情報窃取機能を備えています。攻撃者は、窃取した情報に基づき、感染機器や感染機器が所属するネットワークに攻撃者の関心を引くような価値があるかどうかを調査することで、さらなる情報収集やネットワークを通じたマルウェアの拡散等に利用可能かどうか判断することができるでしょう。他にも、第二段階のマルウェアは、機器を使用不能にする「kill」コマンドの実行が可能です。このコマンドは、ファームウェアの重要部分を上書きし、機器を再起動します。

第三段階のマルウェアとして、第二段階のマルウェアのプラグインとして機能するモジュールが 2 つ確認されています。1 つ目のモジュールは、トラフィックから情報を収集するパケット盗聴機能のためのプラグイン(「ELF_VPNFILT.C」として検出)です。このモジュールにより、Web サイトの認証情報や SCADA プロトコル「Modbus」のトラフィックを傍受することが可能です。もう 1 つのモジュールは、匿名通信システム「The Onion Router(Tor)」を利用して通信するためのプラグインです。その他のプラグインが存在することも予測されますが、まだ確認されていません。

■攻撃者の正体は不明

リサーチャは、VPNFilter が、広範なマルウェアインフラストラクチャを構築することで攻撃者の追跡を困難にし、活動目的に応じたさまざまな攻撃を実行するために利用されていると考えています。感染機器は正規の個人および法人が所有しているため、それらの持ち主がサイバー攻撃者集団の一員あるいはマルウェア作成者と誤解される恐れもあります。正体の特定を困難にし、さまざまな用途に利用可能なマルウェアを使用する手法は、高度な技術を持つサイバー攻撃者集団の特徴です。

確認されたソースコードは、「BlackEnergy」や「Fancy Bear」が利用したマルウェアと類似しています。しかし、コードの類似性は、攻撃者の正体を特定する決定的な証拠とは言えません。なぜなら BlackEnergy および Fancy Bear が利用したコードはアンダーグラウンドで公開されているため、別の攻撃者がコードを流用した可能性も考えられるからです。

■VPNFilter に対処する取り組み

米連邦捜査局(FBI)は、今回の脅威について、ピッツバーグ市民の家庭用ルータが感染した 2017 年 8 月から捜査を続けています。この捜査で FBI は、ネットワークタップを使用し、報告のあった感染機器の所有者がボランティアで提供したルータのトラフィックを監視しました。これにより、機器の再起動によって第二段階および第三段階のマルウェアを停止できることが判明しました。一方、リサーチャは、2016 年以降、さまざまなポートをスキャンする VPNFilter の活動を 100 カ国以上で追跡してきました。2018 年 5 月上旬、特にルータのポートを狙う第二段階のマルウェアへの感染がウクライナで大量に確認されたことは、大規模な攻撃が差し迫っている可能性を示唆するものでした。これを受け、リサーチャは情報公開に踏み切りました。また、FBI は、この大規模攻撃を阻止するために、「ToKnowAll[.]org」を登録したドメイン管理事業者「Verisign」に対して問題のドメインの引き渡しを求める令状を申請しました。

■被害に遭わないためには

VPNFilter が IoT 機器に侵入するための手段はまだ特定されていません。しかし、特定の製品のみが侵入対象となっているのではないため、特定の攻撃方法のみを行うというものではなく、IoT 機器に対する一般的な攻撃方法をすべて試行するような攻撃が考えられます。

  • 脆弱性を利用した攻撃による侵害
  • 管理機能の認証突破による乗っ取り

リサーチャは、VPNFilter からネットワーク機器を守るために以下の手順を推奨しています。

  • 既に侵害を受けている可能性がある場合、機器を工場出荷時の状態に戻す。これにより、少なくとも第一段階のマルウェアが再びインストールするまでの間は、第二段階と第三段階のマルウェアを停止することが可能。
  • 製造業者から更新プログラムが公開され次第、機器のファームウェアを更新する。
  • 管理機能の認証情報をデフォルト設定から変更し、複雑なパスワードを設定する

■トレンドマイクロの対策

組込み型ホームネットワークセキュリティ「Trend Micro Smart Home Network™」を実装したネットワーク機器をご利用のお客様は、以下の侵入防御ルールによって保護されています。

  • 1054456 WEB Linksys Unauthenticated Remote Code Execution -1 (OSVDB-103321)
  • 1054457 WEB Linksys Unauthenticated Remote Code Execution -2 (OSVDB-103321)
  • 1055170 EXPLOIT Generic Arbitrary Command Execution -1
  • 1056614 WEB Cisco Linksys E1500/E2500 apply.cgi Remote Command Injection -1 (BID-57760)
  • 1058664 WEB Cisco Linksys E1500 and E2500 Router Directory Traversal Vulnerability (BID-57760)
  • 1058665 WEB Cisco Linksys E1500 and E2500 Router Password Change Vulnerability (BID-57760)
  • 1058980 WEB Cross-site Scripting -14
  • 1059209 WEB Cisco Linksys E1500 and E2500 Router OS Command Injection Vulnerability (BID-57760)
  • 1059253 WEB Netgear DGN1000 And Netgear DGN2200 Security Bypass Vulnerability (BID-60281)
  • 1059264 WEB QNAP VioStor NVR and QNAP NAS Remote Code Execution Vulnerability (CVE-2013-0143)
  • 1059672 WEB Cisco Linksys E1500/E2500 apply.cgi Remote Command Injection -2 (BID-57760)
  • 1132723 WEB GD Library libgd gd_gd2.c Heap Buffer Overflow -1 (CVE-2016-3074)
  • 1133310 WEB Netgear R7000 Command Injection -1.1 (CVE-2016-6277)
  • 1133463 SSDP Simple Service Discovery Protocol Reflection Denial of Service Vulnerability
  • 1133464 WEB Netgear WNDR1000v4 Router Remote Authentication Bypass
  • 1133572 WEB Shell Spawning Attempt via telnetd -1.b
  • 1133802 WEB Netgear NETGEAR DGN2200 dnslookup.cgi Remote Command Injection (CVE-2017-6334 )
  • 1133908 EXPLOIT QNAP Transcode Server Command Execution
  • 1134566 NETBIOS MikroTik RouterOS SMB Buffer Overflow -1 (CVE-2018-7445)
  • 1134567 NETBIOS MikroTik RouterOS SMB Buffer Overflow -2 (CVE-2018-7445)

2018 年 5 月 31 日に追加されたルールは以下の通りです。

  • 1058983 WEB Cisco Linksys X3000 Router Apply.Cgi Command Execution Vulnerability -1 (CVE-2013-3307)
  • 1058984 WEB Cisco Linksys X3000 Router Apply.Cgi Command Execution Vulnerability -2 (CVE-2013-3307)
  • 1059678 WEB Netgear WNDR4700 Router Multiple Remote Authentication Bypass (CVE-2013-3072)
  • 1132726 WEB GD Library libgd gd_gd2.c Heap Buffer Overflow -2 (CVE-2016-3074)
  • 1132727 WEB GD Library libgd gd_gd2.c Heap Buffer Overflow -3 (CVE-2016-3074)
  • 1134004 WEB Netgear WNR2000v5 Information Disclosure (CVE-2016-10176)
  • 1134603 WEB QNAP VioStor NVR firmware version 4.0.3 and QNAP NAS multiple vulnerabilities
  • 1134687 WEB Netgear DGN1000 And Netgear DGN2200 Unauthenticated Command Execution
  • 1134688 WEB Netgear WNR2000 Information Disclosure -1
  • 1134689 WEB Netgear WNR2000 Information Disclosure -2
  • 1134690 WEB Netgear WNR2000 Information Disclosure -3
  • 1134691 WEB Joomla restore.php PHP Code Injection (CVE-2014-7228)
  • 1134692 MALWARE VPNFilter Connect Activity
  • 1134693 TELNET NETGEAR TelnetEnable Magic Packet -1
  • 1134694 TELNET NETGEAR TelnetEnable Magic Packet -2
  • 1134695 WEB NETGEAR DGN2200B Cross Site Scripting -1
  • 1134696 WEB NETGEAR DGN2200B Cross Site Scripting -2
  • 1134697 WEB QNAP QTS X-Forwarded-For Buffer Overflow
  • 1134698 EXPLOIT TP-Link TDDP Multiple Vulnerabilities -1
  • 1134699 EXPLOIT TP-Link TDDP Multiple Vulnerabilities -2
  • 1134700 EXPLOIT Mikrotik RouterOS Denial of Service (CVE-2012-6050)
  • 1134701 EXPLOIT Mikrotik RouterOS CSRF Vulnerability (CVE-2015-2350)
  • 1134702 WEB Akeeba Kickstart restoration.php Information Disclosure (CVE-2014-7229)
  • 1134703 WEB Akeeba Kickstart restoration.php CSRF Vulnerability (CVE-2014-7229)

【更新情報】

2018/06/05 14:22 侵入防御ルールを追加しました。

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

Related posts:

  1. 続報:IoT ボット「VPNFilter」に感染したデバイスで 19 件の脆弱性を確認
  2. 新しいLinuxマルウェア、CGIの脆弱性を利用
  3. ネットワークカメラをボット化する「PERSIRAI」拡散と追随するその他のマルウェア
  4. IoT機器を狙うボット「Reaper」、数百万台のネットワーク機器に感染