当社では各種IoTマルウェアに関する脅威動向のリサーチを継続的に行い、得られた知見を製品に活かしています。今回、IoTマルウェア「Mirai」とその亜種に関するリサーチの中で、新型コロナウィルス感染症(COVID-19)をモチーフにしているC&Cサーバと、これまでは見られなかったリサーチ妨害手法を用いるC&Cサーバを発見しました。
通常、Mirai 亜種の C&Cサーバは、接続するとユーザ名とパスワードの入力を求めるログインプロンプトを表示します。表示されるログインプロンプトの表示は様々で、シンプルなものや、カラフルなアスキーアートを使ったものなどがあります (なお、リサーチにあたってはユーザ名やパスワードは一切入力せず、C&Cサーバの応答を見るための最小限の入力のみを送信しています)。
あるC&Cサーバでは、接続すると、新型コロナウィルス感染症(COVID-19)をモチーフにしたおどろおどろしいアスキーアートとともにユーザ名とパスワードを要求してきました。その後、「Researching Cure For COVID…」というメッセージが複数回表示されたのち、「Research Failed You Are Infected…」というメッセージを表示し、C&Cサーバとの接続が切断されました。攻撃者は、このようにC&Cサーバの表示内容に最新のトピックを取り入れることがあるようです。
また、別のC&Cサーバでは、接続すると簡単な計算問題を解くよう求められました。適当な入力を送信したところ、「Incorrect answer.」の表示とともにサーバから接続が切断されました。これは、リサーチャがC&Cサーバに接続してくることを妨害する意図があると考えられます。
計算式の正しい答えを入力すると、他のMirai亜種のC&Cサーバと同様のログインプロンプトが表示され、ユーザ名とパスワードを求められました。プロンプトには設定値と思われる項目が表示されており、このC&Cサーバに様々な機能を搭載している可能性が示唆されています。それぞれの設定項目の詳細な意味については今のところ判明していません。
このC&Cサーバは他のMirai亜種のC&Cサーバと同じくマルウェア配布サーバも兼ねており、マルウェアが格納されているディレクトリがオープンディレクトリになっていました(Backdoor.Linux.MIRAI.VWISY として検出)。実際にこのディレクトリで配布されていたマルウェアを入手し、マルウェアの中にXORで暗号化されているデータを復号したところ、「/bin/busybox Cult」といったMiraiの亜種であることを示唆する文字列が見つかりました。
さらに別の Mirai亜種のC&Cサーバでは、接続すると Captchaと称してトークンの入力を要求します。おそらく、このトークンはC&Cサーバの運営者から利用者に事前に配布されており、正しいトークンを入力することでログインプロンプトかコマンド入力プロンプトが表示されると推測されます。このC&Cサーバも、リサーチャによるプロンプトの観測を妨害する意図があると考えられます。
このように、いまだに新たなMirai 亜種のC&Cサーバが出現し続けています。このことは、Mirai亜種が感染を広げやすい、攻撃者にとって魅力的なIoTマルウェアであり続けていることを示しています。当社は引き続きMirai亜種をはじめとするIoTマルウェアの脅威動向について監視し、最新動向を追っていきます。
■被害に遭わないためには
Miraiもしくはその亜種となるIoTマルウェアは、IoT機器の脆弱性、もしくは脆弱な認証情報を利用して感染を広めます。自身が管理するIoT機器については、必ず認証情報を初期設定から変更してください。パスワードにはなるべく推測され難い文字列を使用して辞書攻撃や総当たり攻撃による不正アクセスを防いでください。正規ベンダからの更新プログラムは必ず適用し、攻撃に利用可能な脆弱性が存在しないようにしてください。またインターネットに露出させる必要のない機器はルータ配下に設置するなどにより、そもそも外部からアクセスできない状態で運用することを推奨します。
■トレンドマイクロの対策
トレンドマイクロの「Trend Micro Smart Home Network™」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックします。
■侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡はこちらを参照してください。