Webアプリの脆弱性を利用する「Miori」など複数の「Mirai」亜種の拡散を確認

脆弱性を利用したスマートデバイスへの攻撃は、「モノのインターネット(Internet of Things、IoT)」機器を使用する多くのユーザにとって以前からの課題となっています。中でも、もっとも悪名高い脅威は、常に変化を続けてきたIoTマルウェア「Mirai」でしょう。Miraiは過去、多くのキャンペーンで、弱いパスワードや初期設定の認証情報をそのまま使用しているデバイスの侵害に利用されてきました。2016年にMiraiのソースコードが流出してからは、さまざまな亜種が出現しています。

トレンドマイクロは、「Miori」と呼ばれるMiraiの新しい亜種を確認しました。Mioriは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性を利用して拡散します。この脆弱性を利用する攻撃は比較的新しく、「Proof-of-Concept(PoC、概念実証型エクスプロイト)」は、2018年12月11日になって初めて公開されています。影響を受けるThinkPHPのバージョンは、5.0.23より前の5.xと5.1.31です。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計でも、問題のRCE脆弱性に関連したイベントが最近増加しています。

Mioriの他にも、「IZ1H9」や「APEP」のような既知のMiraiの亜種が同一のRCE脆弱性を利用して拡散していることが確認されました。これらの亜種はすべて、Telnetを介して、工場出荷時の初期設定の認証情報を使用して侵入および拡散します。感染したLinuxマシンはボットネットの一部となり、「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」に利用されます。

■Mioriの解析

MioriはMiraiの多くの亜種の1つに過ぎません。セキュリティ企業「Fortinet」は、「Shinoa」と呼ばれる別のMiraiの亜種との際立った類似性を指摘しています。トレンドマイクロ独自の解析によると、MioriはThinkPHPのRCE脆弱性を利用し、図1のコードによって「hxxp://144[.]202[.]49[.]126/php」から脆弱なマシンにマルウェアをダウンロードして実行していました。

Mioriをダウンロードして実行するコードを遠隔から実行
図 1:Mioriをダウンロードして実行するコードを遠隔から実行

実行に際して、Mioriは以下のメッセージをコンソールに表示します。

実行時にMioriがコンソールに表示するメッセージ
図 2:実行時にMioriがコンソールに表示するメッセージ

MioriはTelnetを開始し、他のIPアドレスに対して侵入を試行します。また、コマンド&コントロール(C&C)サーバからのコマンドを受信するために42352番ポート(TCP/IP)をリッスンします。そして、対象システムの感染を検証するコマンド「/bin/busybox MIORI」を送信します。

Mioriが送信するコマンド
図 3:Mioriが送信するコマンド

「Miori」で確認された文字列(XOR暗号の鍵:0x62)

トレンドマイクロは、Mioriのバイナリデータに埋め込まれた設定テーブルを復号し、表1の文字列を確認しました。これらの文字列にはMioriが利用するユーザ名とパスワードが含まれており、その中のいくつかは簡単に予想できそうなものや初期設定のものでした。

ユーザ名/パスワード 注目すべき文字列
1001chin
adm
admin123
admintelecom
aquario
default
e8ehome
e8telnet
GM8182
gpon
oh
root
support
taZz@23495859
telecomadmin
telnetadmin
tsgoingon
ttnet
vizxv
zte
/bin/busybox kill -9
/bin/busybox MIORI(感染の検証)
/bin/busybox ps(停止用のパラメータ)
/dev/FTWDT101\ watchdog
/dev/FTWDT101_watchdog
/dev/misc/watchdog
/dev/watchdog
/dev/watchdog0
/etc/default/watchdog
/exe
/maps
/proc/
/proc/net/route
/proc/net/tcp
/sbin/watchdog
/status
account
enable
enter
incorrect
login
lolistresser[.]com(C&Cサーバ)
MIORI: applet not found(感染の検証)
password
shell
system
TSource Engine Query
username
your device just got infected to a bootnoot

表 1:「Miori」で確認された文字列

■Mioriに類似したMiraiの亜種「IZ1H9」および「APEP」

さらなる調査により、Miraiのその他の亜種「IZ1H9」および「APEP」がホストされた以下の2つのURLを確認することができました。

  • IZ1H9:hxxp://94[.]177[.]226[.]227/bins/
  • APEP:hxxp://cnc[.]arm7plz[.]xyz/bins/

上記URLに位置するx86バージョンのバイナリファイルを解析したところ、これらの亜種は両方ともMiraiおよびMioriと同じ難読化手法を使用していました。

「IZ1H9」で確認された文字列(XOR鍵:0xE0)

ユーザ名/パスワード 注目すべき文字列
00000000
12345
54321
123456
1111111
20080826
20150602
88888888
1234567890
/ADMIN/
admin1
admin123
admin1234
antslq
changeme
D13hh[
default
ezdvr
GM8182
guest
hi3518
ipc71a
IPCam@sw
ipcam_rt5350
juantech
jvbzd
klv123
klv1234
nimda
password
qwerty
QwestM0dem
root123
service
smcadmin
support
svgodie
system
telnet
tl789
vizxv
vstarcam2015
xc3511
xmhdpic
zlxx.
zsun1188
Zte521
/bin/busybox IZ1H9(感染の検証)
/bin/watchdog
/dev/FTWDT101\ watchdog(ウォッチドッグの無効化)
/dev/FTWDT101_watchdog
/dev/misc/watchdog
/dev/watchdog
/dev/watchdog0
/dev/watchdog1
/etc/default/watchdog
/etc/resolv.conf
/proc/
/proc/net/tcp
/sbin/watchdog
assword
enable
enter
IZ1H9: applet not found
j.#0388(実行後にコンソールに表示)
linuxsh
linuxshell
nameserver
ncorrect
system
TSource Engine Query

表 2:Miraiの亜種「IZ1H9」で確認された文字列

「APEP」で確認された文字列(XOR鍵:0x04)

ユーザ名/パスワード C&C サーバ 注目すべき文字列
123456
888888
20150602
1q2w3e4r5
2011vsta
3ep5w2u
admintelecom
bcpb+serial#
default
e8ehome
e8telnet
fliruser
guest
huigu309
juniper123
klv1234
linux
maintainer
Maxitaxi01
super
support
taZz@01
taZz@23495859
telecomadmin
telnetadmin
tsgoingon
vstarcam2015
Zte521
ZXDSL
cnc[.]arm7plz[.]xyz
scan[.]arm7plz[.]xyz
%4’%-\F/bin/busybox APEP(感染の検証)
/bin/watchdog(ウォッチドッグの無効化)
/dev/FTWDT101/watchdog
/dev/FTWDT101_watchdog
/dev/misc/watchdog
/dev/watchdog
/dev/watchdog0
/etc/default/watchdog
/etc/watchdog
/maps/
/proc/
/proc/net/tcp
/sbin/watchdog
/status
CIA NIGGER
enable
enter
incorrect
linuxshell
password
shell
start
system
terryadavis

表 3:Miraiの亜種「APEP」で確認された文字列

「APEP」が利用する別の脆弱性

APEPは、Telnetへのログイン試行に加え、拡散のために脆弱性「CVE-2017-17215」も利用します。CVE-2017-17215は「Huawei HG532」ルータに影響を与える別のRCE脆弱性です。この脆弱性は「Satori」の亜種や「Brickerbot」の亜種でも利用が報告されています。Huaweiはセキュリティ通知を通して問題の脆弱性攻撃を回避する手段について概説しています。

Huawei製ルータのRCE脆弱性「CVE-2017-17215」を利用した攻撃
図 4:Huawei製ルータのRCE脆弱性「CVE-2017-17215」を利用した攻撃

■被害に遭わないためには

初期設定の認証情報を利用したTelnetへのログイン攻撃は新しい手法ではありません。しかし、工場出荷時の初期設定パスワードの変更はしばしば見落とされ、多くのユーザがインターネットに接続したデバイスにアクセスするために初期設定パスワードを利用しています。このような状況の中、初期設定の認証情報や脆弱性を利用するさまざまなMiraiの亜種が生み出されてきました。

ユーザは、ハッカーによるデバイスの乗っ取りを防ぐために、初期設定の認証情報を変更することが推奨されます。また、一般的なルールとして、定期的にスマートデバイスのシステムを最新バージョンに更新してください。それにより、デバイスの機能を更新するだけでなく、侵入経路となり得る脆弱性に対処することが可能になります。デバイスが対応している場合は自動更新機能を有効化してください。
前述したベストプラクティスに加え、本記事で解説したような脅威からIoTデバイスを保護するために設計されたセキュリティ対策製品の利用を検討することも可能です。トレンドマイクロの組込み型ホームネットワークセキュリティ「Trend Micro Smart Home Network™」を搭載したルータをご利用のお客様は、以下の侵入防止ルールによって本記事で解説した脆弱性を利用する攻撃から保護されています。

  • 1135215 WEB ThinkPHP Remote Code Execution

■侵入の痕跡(Indicators of Compromise、IoCs)

SHA256値 検出名
ee9c7a5b9f7059bdd0649eaaa0adb762683c79fbda91746048332813b44fa1e2 Backdoor.Linux.MIRAI.AR
0d3a8933735a8d19c234db8a5ba1a0c2de390ae59b7298494a4e3bf139851d5f Backdoor.Linux.MIRAI.AR
a6956f98deec26bdaed948cd36ef6bfe954dbba227fd66ad3babd3a7fa4b4d96 Backdoor.Linux.MIRAI.AR
239c9aeec6e17a2739c12b7a4821b99be53375b085210a14d2f4f3e362dd3b7c Backdoor.Linux.MIRAI.AR
adb8271ed2342f50fd602353251574504672992db45fdde7e1e9a223cbd9a10a Backdoor.Linux.MIRAI.AR
868a582cd87418faac09859527b1b9405b287799429c424552551a5a3ddfe1b3 Backdoor.Linux.MIRAI.AR
25a5415a04ff746d0cfa4f5e82b00d7aaac60e92424dd94bb8cf9626e6b724ef Backdoor.Linux.MIRAI.AR
f271d7a3290581f552376cf00006b961fcf54b0d9aa1365c4550113a1132f32d Backdoor.Linux.MIRAI.AR
bd188c69264362b8a09d14af6196b83a6c3da5d6d3b6dc95b97fe87108500c91 Backdoor.Linux.MIRAI.AR
c5e79ceb1878ad4aebf3e8a33a66aeed535aecc1e5ebca0dd0122a6ecfbfe207 Backdoor.Linux.MIRAI.AS
e51c2675430ebb1e49b4187508eae926fdfc52560074a23f937fe50c72c3d56d Backdoor.Linux.MIRAI.AS
76049e93887525e097c9fd06bdc31dad6a118082f5b2fc581020ae11ad80be95 Backdoor.Linux.MIRAI.AS
119c33956bb26fdb697b2e042cde106c98cb1562fdbd5bb2acb2d8e7e603a303 Backdoor.Linux.MIRAI.AS
4825e628d3d6442870821823c14bac5bcab93658e3dbf426b8e6c479320077a9 Backdoor.Linux.MIRAI.AS
4dfab085dcc8d1a4ea6be2f6ca08970d238ffcd4b9ee0728d1f38070750e5f7b Backdoor.Linux.MIRAI.AS
937df675fba3e58e41514ec1881bd9298043533ca9e113b91240d916761fa704 Backdoor.Linux.MIRAI.AS
d6cf67dea7f89d87636f80eba76d4bfcdd6a5fc6540967c446c33522e95f156e Backdoor.Linux.MIRAI.AS
1b20bedd8a69695ba30a4284c19fe84e5926ed8de4f9074b4137ee07e6674d77 Backdoor.Linux.MIRAI.AS
37b6a3b2ca8681abfcaa79868963046aeaab8a46e123d5311d432bd9d11fcc80 Backdoor.Linux.MIRAI.AS
19eb54eea5dfd71d5753ed94e1845fa81b88545f47c14a2c90960da8e06e6c1b Backdoor.Linux.MIRAI.AS
ec77dcab385c31bbbf228df92dcaecc947279c3143afc478807184395b06a6e6 Backdoor.Linux.MIRAI.AS
83619527ba2e4c20d1eb5206f058ca55358b4b3ac032ee8d22616a020c8853d0 Backdoor.Linux.MIRAI.AS
27f6c7ce88d874a270d197bb91d419783bf5e08e16fa43ced57607748f2fc5b2 Backdoor.Linux.MIRAI.AS
404ea2a77693b0ab4c76da65aae7451d83d621a75b8eb8d2736998bf1c23ecf3 Backdoor.Linux.MIRAI.AS
64e1f581d42f2c9e0c1f13b4f814d4a4b0cad2e3ac1c8a754f6a912ab07b4bc1 Backdoor.Linux.MIRAI.AS
231d0913bba4b8c02f93fca2a917762eb94013d31f0ac4c9703b498b6ab9a87f Backdoor.Linux.MIRAI.AS
bf3190c7746775a7756d76d0c4bbeedeb1b4bc2a14fb3465da0bd49dfae14503 Backdoor.Linux.MIRAI.AS
eba3e81fcedaaa9661c5faa41b98c1d7906fdad7f960530f936ac2ad0b921ac3 Backdoor.Linux.MIRAI.AS
ad463ae6c08a085a1c45fc8da32c736bb1ced083d0cc0619a7d0a919c43a3717 Backdoor.Linux.MIRAI.AS
eefa90ebde0d5d16c71315f292f86a72735e62af686a7872d1d153694582404d Backdoor.Linux.MIRAI.AS
7408a894f4c278155b5ab28ebd48269075ee73ad24dc877cecd7b41a97b6d975 Backdoor.Linux.MIRAI.AS
282836e3d6649d9f97cdbf6b373329386a4fd290b87599f84f1d84ecfe5586eb Backdoor.Linux.MIRAI.AS
73036a31742e52cca9cfb02883cef62efb7f9129c14e2e2fd3064d2b4b8ec6e0 Backdoor.Linux.MIRAI.AS

関連する不正なURLは以下の通りです。

  • hxxp://144[.]202[.]49[.]126/miori[.]mips
  • hxxp://144[.]202[.]49[.]126/miori[.]mpsl
  • hxxp://144[.]202[.]49[.]126/miori[.]arm
  • hxxp://144[.]202[.]49[.]126/miori[.]arm5
  • hxxp://144[.]202[.]49[.]126/miori[.]arm6
  • hxxp://144[.]202[.]49[.]126/miori[.]arm7
  • hxxp://144[.]202[.]49[.]126/miori[.]sh4
  • hxxp://144[.]202[.]49[.]126/miori[.]ppc
  • hxxp://144[.]202[.]49[.]126/miori[.]x86
  • hxxp://144[.]202[.]49[.]126/miori[.]arc
  • hxxp://144[.]202[.]49[.]126/php
  • hxxp://94[.]177[.]226[.]227/bins/
  • hxxp://cnc[.]arm7plz[.]xyz/bins/
  • hxxp://scan[.]arm7plz[.]xyz

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)