ホーム » 不正プログラム » ホームルータや監視カメラ用ストレージシステムを狙うIoTマルウェア：「SORA」と「UNSTABLE」

ホームルータや監視カメラ用ストレージシステムを狙うIoTマルウェア：「SORA」と「UNSTABLE」

トレンドマイクロは、「モノのインターネット（Internet of Things、IoT）」デバイスに感染するマルウェア「Mirai」の亜種２つを確認しました。「SORA」（検出名「IoT.Linux.MIRAI.DLEU」）と「UNSTABLE」（検出名「IoT.Linux.MIRAI.DLEV」）と名付けられたこれらの亜種は、脆弱性「CVE-2020-6756」を利用して監視カメラ用ストレージシステム「Rasilient PixelStor5000」へ侵入します。

悪名高いMiraiは、脆弱性を持つIoTデバイスを積極的に検索し、感染させたデバイスをボット化するマルウェアの一種です。ボット化されたデバイスは、次に、他に感染可能なデバイスを探して感染させます。Miraiは数年に渡る活動の中で、ルータやスマートテレビを標的とするタイプなど、いくつかの亜種を派生させてきました。

Miraiのボットネットの多くは、分散型サービス拒否（DDoS）攻撃に利用されます。多くのサイバー犯罪者は、膨大な数のボットを必要とするDDoS攻撃をサービスとして提供することで利益を上げています。そのため、サイバー犯罪者はできるだけ多くのデバイスを感染させようと、常に拡散方法の探求に余念がありません。

確認されたMiraiの亜種は、Rasilient製の監視カメラ用ストレージシステムが抱える脆弱性「CVE-2020-6756」を利用することによってシステムに侵入します。攻撃者がこの脆弱性を利用すると、リモートでのコード実行（RCE）が可能になります。

図1：PixelStor5000の脆弱性「CVE-2020-6756」を利用するコード

https://documents.trendmicro.com/images/TEx/articles/Figure%202.png — 図2：ペイロードをダウンロードして実行するシェルスクリプト

これまでに確認されているMiraiの脆弱性悪用方法と同様、サイバー犯罪者は遠隔操作用サーバ（C&Cサーバ）からシェルスクリプトをダウンロードさせます。次にシェルスクリプトは、ペイロードとして「SORA」あるいは「UNSTABLE」をダウンロードして実行します。

■「SORA」

リサーチャが確認した「SORA」は典型的な「Mirai」の亜種で、キーDEDEFBAFでXOR暗号化されたパスワードリストによる「辞書攻撃」を実行します。この亜種は2種のホームルータの脆弱性、攻撃者による遠隔からのコードの実行を可能にする「CVE-2017-17215」と、攻撃者によるデバイスの不正アクセスを可能にする「CVE-2018-10561」を利用します。