新しいMiraiワーム、90万人のドイツ人をオフライン化

今週、インターネットルータがMiraiとして知られるコンピュータワームの新しい変種に感染した結果、ドイツのISP Deutsche Telekom(DT)の900,000人以上の顧客がオフラインになりました。 このマルウェアは、ISPがデバイス上のファームウェアをリモートからアップグレードできる機能で新たに発見された脆弱性を介して、ルータ内部で騒がれました。 しかし、新しいMiraiマルウェアは、DTのクリーンアップと復旧の作業を複雑にして、デバイスに感染したら、その機能を無効にします。

セキュリティ専門家は、サイバー犯罪者が脆弱で安全性の低いルータ、インターネット接続されたカメラ、デジタルビデオレコーダー(DVR)のためにインターネットの物事(IoT)を積極的に捜索し続けているため、 大規模なWebサイトをオフラインでノックインできる大規模サービス拒否攻撃から、サイバー犯罪者が匿名でオンラインに暮らせるようにするなど、様々な目的でIoTデバイスを使用しレンタルすることができます。

Miraiのこの新しい亜種は、9月末にリリースされたマルウェアのソースコードをベースにしています。 KrebsOnSecurityを数日間オフラインにしたレコードサイズの攻撃で、Miraiをベースにしたボットネットが使用されてから、そのリークが1週間後に発生しました。それ以来、感染する可能性のある脆弱なIoTシステムの限られたプールのためにすべて競合する数十の新しい未来ボットネットが出現しました。

今週まで、すべてのMiraiボットネットは、何百万のIoTデバイスで使用されている同じ工場出荷時のデフォルトのユーザー名とパスワードをスキャンしました。しかし、より大きな未来ボットネットの背後にある犯罪者は、ZyxelとSpeedportが作成した特定のルータのセキュリティ上の欠陥のために、今月初めに公開された悪用コードを組み込んで、新たな武器を追加することにしたようだ。

これらの企業はISPが顧客に出荷するDSLモデムの構築に特化したOEM(Original Equipment Manufacturer)として機能します。この脆弱性は、ISPがネットワーク上のすべての宅内ルータをリモート管理するために使用できるデバイスによってサポートされている通信プロトコルに存在します。

問題の一部は、Deutsche Telekomが他の世界をブロックしてこれらのデバイスを遠隔管理するベストプラクティスに従っていないようだというBadCyber.comによると、Miraiの新種の登場についてブログで報じた。

BadCyber氏は、「マルウェアは、ルータが感染すると脆弱性を閉じるので、本当に親切だ」と指摘した。 “次の再起動時までデバイスを安全にするコマンドを実行します。最初のポート7547はポート7547を閉じ、2番目のポートはTelnetサービスを終了させるため、ISPがリモートでデバイスをアップデートすることは本当に難しくなります」[Geek Factor 5の読者層のために、これらのルータは、 TR-069として知られている通信プロトコルを使用して、ポート7547を宛先とする]。

DTは、ルータの接続を一時的に切断してから再接続することに問題があるお客様に、マルウェアをデバイスのメモリから拭き取るプロセスを促しています。デバイスは、この脆弱性を悪用するDTから新しいアップデートを受け取ることができます。

つまり、新しい未来株が最初に得られない限り。 SANS Technology Instituteのセキュリティ研究部門長Johannes Ullrichは、今回のMiraiのバージョンでは、新しい被害者のためにインターネットを積極的にスキャンし、SANSの調査によると、新型Miraiの脆弱性によって脆弱なデバイスが5〜 インターネット。

Ullrich氏は、新しいMiraiの亜種によって実行されるスキャン活動は非常に積極的であるため、この攻撃に脆弱ではないルータでもハングアップやクラッシュを引き起こす可能性があると述べています。

Ullrich氏によると、「Miraiの新種」からの「着信接続の数が非常に多いため、これらのデバイスの一部がダウンした」という。 「彼らはポート7547でリッスンしていましたが、この悪用に脆弱ではなく、依然としてそのポートへの接続数で過負荷になっていました。

speedport

犯罪者に機械を渡す

Flashpointのセキュリティ研究担当ディレクターであるAllison Nixonは、この最新のMiraiの亜種は、今日、より大規模で確立された未来ボットネットの1つに新鮮な犠牲者を供給しようとしているようだと語った。

Nixonは、この特定のボットネットが他のサイバー犯罪者に別々のチャンクで貸し出されていると疑っているという。彼女の疑惑は、マルウェアの電話が、複数のMiraiボットネットを制御するために使用されているサーバ以外何も何もホストしていないという唯一の目的のために何ヵ月も購入した256のインターネットアドレスの範囲にあるという事実に一部基づいています。

「マルウェアは、Miraiを実行するための明示的な目的で購入された範囲内のいくつかの[インターネットアドレス]を指し示している」とNixon氏は述べている。 「その範囲は、Miraiコントロールサーバーを実行するだけで、今のところそれをやっています。このインフラストラクチャの購入は安くないので、これはおそらく商用サービスの一部であると私は言います。そして、あなたは一般的にキックのためにこれをやっている人は見ません、あなたは彼らがお金のためにそれをやっているのを見ます。

Nixon氏は、この新しいMirai変種の背後にある犯罪者は、数十万のハッキングされたIoTデバイスで構成されると考えられるボットネットを、複数の異なる制御サーバーの間で細分化していると語った。このアプローチは、巨大な分散サービス拒否(DDoS)攻撃に使用するために転売されたボットネットの構築に特化したサイバー犯罪者の間の2つの大きな懸念に対処すると述べています。

1つは、標的ホストを落とすのに必要なよりも多くのボットの火力を活用する拡張DDoS攻撃が、ボットネットが新たに感染したIoTデバイスで補うことができるよりも迅速に犯罪マシンの全体的なボット数を減らす原因となることです機械の強度と収益力。

「私はDDoSコミュニティで数多くのチャットを見てきました。頻繁に出てくる話題の1つは、そこを走っている人々が互いに知り合わないボットネットがたくさんあることです。彼らはちょうど時間を購入しましたボットネットには特定のスロットが割り当てられている」と語った。 「長い攻撃はマルウェアや感染したマシンをクラッシュさせ、その攻撃が過剰に使用されるとボットネットを殺してしまいます。今では、誰かがあなたができるだけボットを保存しなければならず、あなたが押しているDDoSトラフィックでは過度ではないということを知って、その懸念に対する応答を構築しているように見えます。

Nixon氏は、Miraiボットネットを複数のコントロールサーバーに対応する小さなセクションに分割することで、全体的な犯罪マシンがセキュリティ企業や研究者のテイクダウンに対する抵抗力を高めている、と語った。

「これは興味深い開発です。なぜなら、最近、Miraiに対する多くの反応が、Miraiのコントローラを見つけてそれを取り除くことだったからです」とNixon氏は言います。 「現在、Miraiのアクターが抱える冗長インフラの規模はかなり大きく、ボットネットのダウンをより困難にしようとしていることが示唆されています。

ニクソン氏によると、セキュリティ界の積極的なミライ・テイクダウンの努力は、詐欺師たちにすぐに、より洗練された弾力性のある犯罪機械をオンラインで維持する方法を採用するようになるかもしれないと心配している。

「これらのボットネットでは、テイクダウンのオプションが永遠に存在しないことを認識しなければなりません。」

参照:

https://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/