トレンドマイクロは、「Mirai」系IoTマルウェアの新しい亜種(「IoT.Linux.MIRAI.VWISI」として検出)を確認しました。この亜種は、「SORA」、「UNSTABLE」、「Mukashi」など過去数カ月の間に出現したMiraiから派生した亜種に新たに追加されるものとなります。この亜種は9つの脆弱性を利用する機能を備えていますが、中でも特にComtrend社製 VR-3033ルータの脆弱性(CVE-2020-10173)を利用対象に加えている点が注目されます。この脆弱性の利用は、過去のMiraiとその派生系の亜種では見られなかったものであり、IoTマルウェアを使用するサイバー犯罪者がマルウェアに新しい脆弱性を加えることによって、攻撃対象を拡大し続けていることを示しています。
■IoTマルウェアが新たに利用する脆弱性
新亜種が狙う脆弱性9つは新旧の脆弱性の組み合わせで構成されており、多種多様なIoT機器を幅広く攻撃することが可能です。特定のバージョンのIPカメラ(ネットワークカメラ)、スマートTV、ルータなどがこれらの脆弱性の影響を受けます。
とはいえ、これらの脆弱性の中で最も注目すべきはCVE-2020-10173です。これは、Comtrend社製の VR-3033ルータに存在するOSコマンドインジェクションの脆弱性で、攻撃者はこの脆弱性を利用することにより、ルータによって管理されているネットワークを遠隔から侵害することができます。これまで脆弱性「CVE-2020-10173」については概念実証(Proof of Concept、PoC)が公表されているのみで、IoTマルウェアによる実際の悪用事例は報告されていませんでした。
今回のIoTマルウェアが利用するもう1つの比較的最近の脆弱性は、Netlink製 GPONルータ1.0.11に存在するリモートコード実行(RCE)の脆弱性です。今年2020年の発見が報告されており、IoTマルウェア「Bashlite(別名Gafgyt)」の亜種である「Hoaxcalls」のボットネットによる悪用事例が報告されています。
新亜種は上記2つの脆弱性の他に、過去の攻撃活動で使用されてきた古い脆弱性を主に利用します。図3および4で示す2つのコードは、新亜種のコードに書かれている古い脆弱性の例です。
上記4つに加えて、以下の5種の古い脆弱性も利用します。
- AVTECH製 IPカメラ、ネットワークビデオレコーダー(NVR)、デジタルビデオレコーダー(DVR):複数の脆弱性
- D-Link製デバイス:UPnP SOAPコマンド実行の脆弱性
- MVPower 製DVR TV-7104HE 1.8.4 115215B9:シェルコマンド実行の脆弱性
- Symantec Web Gateway 5.0.2.8:RCEの脆弱性
- ThinkPHP 5.0.23および5.1.31:RCEの脆弱性
■ブルートフォース機能
脆弱性の利用と共に、TelnetとSecure Shell(SSH)に対するブルートフォース/辞書攻撃も行われます。新亜種は、脆弱なデバイスへの攻撃に使用する認証情報を、XOR鍵「0x04」を用いた典型的なXOR暗号化を使用して隠蔽しています。以下の表は、トレンドマイクロで抽出した認証情報です。
抽出された認証情報
| 0 | GM8182 | ROOT500 |
| 1001chin | grouter | solokey |
| 1111 | guest | svgodie |
| 1234 | h3c | swsbzkgn |
| 12345 | hg2x0 | system |
| 123456 | hi3518 | t0talc0ntr0l4! |
| 20080826 | huigu309 | taZz@23495859 |
| 54321 | hunt5759 | telecomadmin |
| 5up | iDirect | telnet |
| 666666 | ipcam_rt5350 | telnetadmin |
| 88888888 | iwkb | tl789 |
| abc123 | juantech | tsgoingon |
| admin | jvbzd | twe8ehome |
| ahetzip8 | klv123 | user |
| anko | nflection | vizxv |
| antslq | nmgx_wapia | win1dows |
| ascend | oelinux123 | xc3511 |
| blender | pass | xmhdipc |
| cat1029 | password | zhongxing |
| changeme | private | zlxx. |
| default | realtek | zsun1188 |
| dreambox | root | Zte521 |
■被害に遭わないためには
新亜種ではCVE-2020-10173を加えて攻撃可能な脆弱性を増やし、攻撃者がさらに多くのパッチ未適用のIoTデバイスを狙っていることがうかがえます。新しい脆弱性の追加は、さらに多くの攻撃の機会を提供することになります。ユーザが自身の保有するデバイスに脆弱性が存在することさえ知らない場合、パッチの適用が遅れ、手遅れになることがあります。
遅かれ早かれ、脆弱性「CVE-2020-10173」を利用したIoTマルウェアにボット化されたIoTデバイスが、分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃を実行するボットネットとして利用されるでしょう。また、このようなボットネットを監視する中では、攻撃の成功率を上げる脆弱性や認証情報のリストなどの攻撃手法を攻撃者がお互いにコピーし合う傾向があることが確認されています。つまり、新たに利用が確認された脆弱性は他のIoTマルウェアでも利用が進むため、特に注意が必要です。
Miraiのようなボットネットを構築するマルウェアからIoTデバイスを保護するには、以下のようなベストプラクティスに従う必要があります。
- 脆弱性のパッチが利用可能になったら直ちに適用し、機器を最新の状態にしておく
- ネットワークセグメンテーションを使用して、感染の拡大の可能性を防止する
- 初期設定のパスワードを強力なパスワードに変更する
- 安全な設定を適用して、予期せずに侵入口となりうる開口部を制限する
■トレンドマイクロの対策
個人利用者のホームネットワークに接続されたIoT機器については「ウイルスバスター for Home Network」、もしくは「Trend Micro Smart Home Network™」を搭載したルータにより保護することが可能です。これにより、ルータと接続されたすべての機器におけるインターネット通信の確認を可能にします。
法人利用者においては、脆弱性を利用する遠隔攻撃のトラフィックを、ネットワーク脅威防御ソリューション「TippingPoint」で検知、ブロックすることが可能です。また、ネットワーク挙動監視ソリューション「Deep Discovery ™ Inspector 」は、ネットワーク内の不審な挙動を可視化します。特にスマート工場向けのセキュリティ対策としては、トレンドマイクロの合併会社「TXOne Networks」が提供する産業制御システム向け製品があります。
■侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡はこちらを参照してください。
参考記事:
- 「New Mirai Variant Expands Arsenal, Exploits CVE-2020-10173」
by Augusto Remillano II and Jemimah Molina
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)