ホーム » 不正プログラム » ホームルータや監視カメラ用ストレージシステムを狙うIoTマルウェア：「SORA」と「UNSTABLE」

ホームルータや監視カメラ用ストレージシステムを狙うIoTマルウェア：「SORA」と「UNSTABLE」

トレンドマイクロは、「モノのインターネット（Internet of Things、IoT）」デバイスに感染するマルウェア「Mirai」の亜種２つを確認しました。「SORA」（検出名「IoT.Linux.MIRAI.DLEU」）と「UNSTABLE」（検出名「IoT.Linux.MIRAI.DLEV」）と名付けられたこれらの亜種は、脆弱性「CVE-2020-6756」を利用して監視カメラ用ストレージシステム「Rasilient PixelStor5000」へ侵入します。

悪名高いMiraiは、脆弱性を持つIoTデバイスを積極的に検索し、感染させたデバイスをボット化するマルウェアの一種です。ボット化されたデバイスは、次に、他に感染可能なデバイスを探して感染させます。Miraiは数年に渡る活動の中で、ルータやスマートテレビを標的とするタイプなど、いくつかの亜種を派生させてきました。

Miraiのボットネットの多くは、分散型サービス拒否（DDoS）攻撃に利用されます。多くのサイバー犯罪者は、膨大な数のボットを必要とするDDoS攻撃をサービスとして提供することで利益を上げています。そのため、サイバー犯罪者はできるだけ多くのデバイスを感染させようと、常に拡散方法の探求に余念がありません。

確認されたMiraiの亜種は、Rasilient製の監視カメラ用ストレージシステムが抱える脆弱性「CVE-2020-6756」を利用することによってシステムに侵入します。攻撃者がこの脆弱性を利用すると、リモートでのコード実行（RCE）が可能になります。

図1：PixelStor5000の脆弱性「CVE-2020-6756」を利用するコード

https://documents.trendmicro.com/images/TEx/articles/Figure%202.png — 図2：ペイロードをダウンロードして実行するシェルスクリプト

これまでに確認されているMiraiの脆弱性悪用方法と同様、サイバー犯罪者は遠隔操作用サーバ（C&Cサーバ）からシェルスクリプトをダウンロードさせます。次にシェルスクリプトは、ペイロードとして「SORA」あるいは「UNSTABLE」をダウンロードして実行します。

■「SORA」

リサーチャが確認した「SORA」は典型的な「Mirai」の亜種で、キーDEDEFBAFでXOR暗号化されたパスワードリストによる「辞書攻撃」を実行します。この亜種は2種のホームルータの脆弱性、攻撃者による遠隔からのコードの実行を可能にする「CVE-2017-17215」と、攻撃者によるデバイスの不正アクセスを可能にする「CVE-2018-10561」を利用します。

https://documents.trendmicro.com/images/TEx/articles/Figure%203.png — 図3：HuaweiルータHG532の脆弱性を利用する
「SORA」に埋め込まれたコード

https://documents.trendmicro.com/images/TEx/articles/FIGURE%204.png — 図4：Dasan GPONルータの脆弱性を利用する「SORA」に
埋め込まれたコード

■「UNSTABLE」

上述の「SORA」と同様に、「UNSTABLE」もキーDEADDAADでXOR暗号化を使用し、文字列を隠蔽します。リサーチャが確認したいくつかは圧縮ソフトUPXを使用して圧縮されており、実行バイナリのサイズを縮小することによって検出回避を図ったものと考えられます。

脆弱性「CVE-2017-17215」と「CVE-2018-10561」に加えて、「UNSTABLE」はオープンソースのWeb開発フレームワークThinkPHPの脆弱性も利用します。これにより、RCEが可能になり、マルウェアのダウンロードと実行が行われます。

https://documents.trendmicro.com/images/TEx/articles/FIGURE%205.png — 図5：ThinkPHP 5.0.23 / 5.1.31の脆弱性を利用するコードが
埋め込まれている

■IoTデバイスを保護するためには

新しい脆弱性を利用する「Mirai」の亜種が確認されたということは、サイバー犯罪者が、セキュリティ保護されていないIoTデバイスを検索しボット化するために熱心であることを意味しています。ユーザは、以下のベストプラクティスに従い、こうした脅威からIoTデバイスを保護することができます。

ルータや他のIoTデバイスのパスワードを工場出荷時のままにしない
適切なセキュリティ設定を行い、使用していない機能は無効にする
ネットワークトラフィックを注意深く監視し、見たことのないドメインへの接続試行が増加していないか確認する
修正プログラムとアップデートを適用して脆弱性に対処し、新旧の脆弱性を狙う脅威からIoTデバイスを保護する

■トレンドマイクロの対策

組込み型ホームネットワークセキュリティ「Trend Micro Smart Home Network™ 」を搭載したルータをご利用のお客様は、以下のルールによって本記事で解説した脆弱性を利用する脅威から守られています。

1134610 – WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561)
1134611 – WEB Dasan GPON Routers Command Injection -1.2 (CVE-2018-10561)
1134891 – WEB Dasan GPON Routers Command Injection -1.3 (CVE-2018-10561)
1134892 – WEB Dasan GPON Routers Command Injection -1.4 (CVE-2018-10561)
1134287 – WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
1135215 – WEB ThinkPHP Remote Code Execution

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

※調査協力：Raymart Paraiso and Augusto Remillano II

参考記事：

「SORA and UNSTABLE: 2 Mirai Variants Target Video Surveillance Storage Systems」
by Trend Micro

翻訳：室賀美和（Core Technology Marketing, Trend Micro™ Research）

Tags: モノのインターネット Internet of Things IOT SORA UNSTABLE