MIRAIマルウェアがついにWindowsに対応

MIRAI – おそらく昨年登場したIoTベースのマルウェア脅威の中で最大の脅威であり、昨年10月に普及したDNSプロバイダーDynに対して大規模な分散型サービス拒否(DDoS)攻撃を開始したことでインターネットの停止が発生しました。

今、悪名高いマルウェアは、流通の取り組みを強化するために更新されました。
ロシアのサイバーセキュリティ会社Dr.Webの研究者は、ハッカーがMiraiをさらに多くのデバイスに普及させる唯一の目的で構築されたWindowsトロイの木馬を発見しました。

Miraiは、LinuxベースのIoT(Internet-of-Things)デバイス用の悪意のあるソフトウェアで、安全でないIoTデバイスをスキャンし、ボットネットネットワークに奴隷化し、DDoS攻撃を開始するために使用し、工場が使用するデバイス・ログイン情報を利用して、Telnetで接続して広がっていきます。

昨年10月初めに始まったのは、ハッカーがMiraiのソースコードを公開したときです。

Trojan.Mirai.1と呼ばれる新しいトロイの木馬は、Windowsコンピュータをターゲットとし、侵入可能なLinuxベースの接続デバイスをユーザーのネットワーク上でスキャンします。

Windowsコンピュータにインストールされると、このトロイの木馬はコマンドと制御(C&C)サーバーに接続し、そこからIPアドレスの範囲を含む構成ファイルをダウンロードし、22(SSH)や23(Telnet )、135,445,1433,3306および3389。

認証に成功すると、マルウェアは、侵入したシステムのタイプに応じて、設定ファイルで指定された特定のコマンドを実行します。

Telnetプロトコルを介してアクセスされるLinuxシステムの場合、トロイの木馬は侵入先のデバイス上でバイナリファイルをダウンロードし、その後Linux.Miraiをダウンロードして起動します。

Trojan.Mirai.1のScannerは複数のTCPポートを同時にチェックすることができます。利用可能なプロトコルを介して攻撃されたノードに正常に接続すると、指示された一連のコマンドが実行されます。

トロイの木馬は、一度侵害されると、他のWindowsデバイスに広がり、ハッカーがさらに多くのデバイスを乗っ取るのを助けることができます。

このほかにも、マルウェアは、MySQLやMicrosoft SQLなどのさまざまなポート上で動作するデータベースサービスを特定して侵害し、パスワードを「phpgodwith」とする新しい管理者「phpminds」を作成し、攻撃者がデータベースを盗む可能性があることに気付きました。

現時点では誰がこれを作成したのかは分かりませんが、インターネットから直接アクセスできないIoTデバイスがMiraiボットネットの軍隊に参加するためにハッキングする可能性があることを攻撃設計によって示しています。

参照:

http://thehackernews.com/2017/02/mirai-iot-botnet-windows.html

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*