モノのインターネット(Internet of Things、IoT)を狙うマルウェア「Mirai」の新しい亜種がセキュリティ企業「Palo Alto Networks」のリサーチャによって報告されました。Palo Altoの解析によると、この新しい亜種は新旧の脆弱性を利用し、業務利用されているデジタルサイネージ用機器およびワイヤレスプレゼンテーションシステムを攻撃対象とします。また、辞書攻撃に使用する初期設定の認証情報一覧には新しい認証情報が追加されていました。
トレンドマイクロはこのMiraiの新しい亜種を「Backdoor.Linux.MIRAI.VWIPI」および「Backdoor.Linux.BASHLITE.AME」として検出対応しています。
■Miraiの新しい亜種の挙動
このMiraiの新しい亜種は、2019年1月の初めに、侵害されたコロンビアのWebサイトで確認されました。この亜種が利用する27件の脆弱性のうち、ワイヤレス・プレゼンテーション・システム「WePresent WiPG-1000」とサイネージTV「LG Supersign TV」の脆弱性を含む11件はMiraiによる利用が初めて確認されたものです。サイネージTVとは、店舗や公共施設に設置して画面に各種案内や広告を表示するデジタルサイネージ用のTVのことです。残りの脆弱性は、以前、ネットワークカメラ(IPカメラ)、ネットワークストレージデバイス、およびルータのような組込みデバイスや「Apache Struts」への攻撃に利用されたものでした。
このMiraiの新しい亜種は、以前の亜種と同様に、初期設定の認証情報を使用して露出したTelnetポートをスキャンします。また、特定のデバイスや、更新プログラムが適用されていないシステムをスキャンし、脆弱性の1つを利用して対象を攻撃および感染させます。他にも、3933番ポートを使用してコマンド&コントロール(C&C)サーバからHTTPフラッドのようなコマンドを受信し、分散型サービス拒否(distributed denial-of-service、DDoS)攻撃を実行します。
■被害に遭わないためには
トレンドマイクロは2019年1月にMiraiの別の新しい亜種「Yowai」を確認しています。このような事例からも、サイバー犯罪者は、増加を続けるIoTデバイスを攻撃するためにMiraiの開発を継続していくことが予測されます。IoTデバイスのユーザは、初期設定の認証情報を即時変更し辞書攻撃による不正アクセスを防いでください。また、正規ベンダから更新プログラムが公開され次第それを適用し、攻撃に利用可能な脆弱性に対処することが推奨されます。
■トレンドマイクロの対策
ネットワーク挙動監視ソリューション「Deep Discovery™」をご利用のお客様は、以下のルールによって本記事で解説した脆弱性を利用する脅威を検出できます。
- 2539 AVTECH Authentication ByPass Exploit- HTTP (Request)
- 2713 AVTECH Command Injection Exploit – HTTP (Request)
- 2499 CVE-2016-10174 – NETGEAR Remote Code Execution – HTTP (Request)
- 2806 CVE-2016-1555 – Netgear Devices – Unauthenticated Remote Code Execution – HTTP (Request)
- 2755 CVE-2017-6884 Zyxel OS Command Injection Exploit – HTTP (Request)
- 2639 CVE-2018-10562 – GPON Remote Code Execution – HTTP (Request)
- 2544 JAWS Remote Code Execution Exploit – HTTP (Request)
- 2550 DLINK Command Injection Exploit – HTTP (Request)
- 2707 DLINK Command Injection Exploit – HTTP (Request) – Variant 2
- 2754 EnGenius EnShare Remote Code Execution Exploit – HTTP (Request)
- 2692 LINKSYS Unauthenticated Remote Code Execution Exploit – HTTP (Request)
- 2548 LINKSYS Remote Code Execution – HTTP (Request)
- 2452 W get Commandline Injection
- 2536 Netgear ReadyNAS RCE Exploit – HTTP (Request)
- 2778 ZTE ZXV10 Remote Code Execution Exploit – HTTP (Request)
組込み型ホームネットワークセキュリティ「Trend Micro Smart Home Network™」を搭載したルータをご利用のお客様は、以下のルールによって本記事で解説した脆弱性を利用する脅威から守られています。
- 1057404 WEB D-Link DIR-645, DIR-815 diagnostic.php Command Execution (BID-58938)
- 1132318 WEB D-Link DCS-930L Authenticated Remote Command Execution
- 1133374 WEB Zyxel P660HN-T v1 Router Unauthenticated Remote Command Execution
- 1133375 WEB Zyxel P660HN-T v2 Router Unauthenticated Remote Command Execution
- 1133643 WEB WePresent WiPG-1000 Command Injection
- 1133802 WEB Netgear NETGEAR DGN2200 dnslookup.cgi Remote Command Injection (CVE-2017-6334)
- 1135139 WEB Netgear Devices Unauthenticated Remote Command Execution (CVE-2016-1555)
- 1133148 MALWARE Suspicious IoT Worm TELNET Activity -1
- 1133063 MALWARE MIRAI TELNET Activity
参考記事:
- 「New Mirai Botnet Variant Targets IoT TV, Presentation Systems」
by Trend Micro
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)