ここから本文です

IoTデバイスを破壊する新ボットが出現

4/25(火) 15:19配信

THE ZERO/ONE

数ヵ月前、我々はIoTデバイスを狙ったボット、Miraiの脅威に直面した。その後LeetやAmnesiaといった、同様にIoTデバイスを攻撃してボットネットを構築するボットが出回りだした。

この脅威シーンに新たに登場したのが、Brickerbotと名付けられたボットだ。これを特定したのはRadwareの研究者で、Miraiボットネットと類似した手法でIoTデバイスを攻撃する。

ただしMiraiと異なるのは、Brickerbotの目的は不十分な設定のIoTデバイスを永久的に破壊するというPermanent Denial of Service(PDoS)であり、それ自体がボットネットを構築するわけではない。

Brickerbotは、Radwareの研究者らがハニーポットへの攻撃を監視していた3月20日に発見された。

「Radware のハニーポットは4日間で世界中の複数の場所からのPDoS攻撃を1895件記録した。その唯一の目的はIoTデバイスに侵入し、ストレージを破損させることだった」とRadwareが発表した解析レポートに記されている。「この短期間に集中したボット(BrickerBot.1)の他に、Radwareのハニーポットにはこれに非常に似た2つ目のボット(BrickerBot.2)からの攻撃が記録されていた。BrickerBot.2は同日(両方のボットは1時間も置かずに発見された)にPDoS攻撃を開始しており、頻度は低いもののより徹底していた。その位置情報はTORの出口ノードで隠されていた」

ハニーポットは4日間でBrickerbotによる感染攻撃1895件を記録した。BrickerBot.1の攻撃の大部分はアルゼンチンからだった。一方、333件のBrickerBot.2の攻撃はTorノードからのものだ。

Brickerbotは、TELNETのブルートフォースでIoTデバイスに侵入するというMiraiと同様のテクニックを利用している。ただしMiraiと異なる部分もある。

「Brickerはバイナリをダウンロードしない。そのため我々は総当り攻撃で使用された認証情報の完全なリストは入手できなかった。しかし、最初の攻撃のユーザーネームとパスワードのペアが常に『root』と『vizxv』だったことは記録できた」とレポートは続く。

この悪意のあるコードは、Telnetのポートが開いておりインターネット上に公開されているIoTデバイスのうち、BusyBoxツールキットを使用するLinuxベースのものを狙う。

PDoS攻撃は、限られた番号のIPアドレスから行われていた。攻撃されたIoTデバイスは、ポート22(SSH)を晒し、DropbearSSHサーバーの古いバージョンを起動していた。大部分のデバイスはShodanでUbiquiti社製のネットワークデバイスと特定された。

デバイスがマルウェアに感染すると、マルウェアはrm -rf /*を使用するなどしてデバイスのストレージを消去しようとする。またTCPタイムスタンプを無効にする、カーネルスレッドの最大数を1つに限定するなども行う。

またBrickerbotマルウェアは、iptablesを消去してファイアーウォールやNATルールを無効にし、外向きの全てのパケットを通さないというルールを追加する。マルウェアは、脆弱なIoTデバイスの設定を一掃し、使用不能にするのだ。
Radwareの専門家らは、IoTデバイス保護のために下記のような提言をしている。

・デバイスの工場出荷時の認証情報を変更する。
・デバイスへの Telnetのアクセスを無効にする。
・ネットワークビヘイビア(ふるまい)解析によるトラフィック異常の検知と、自動シグネチャ生成を組み合わせる。
・ユーザー/エンティティビヘイビア解析(UEBA)でトラフィックの粒度の細かい異常を早期に発見する。

IPSでTELNETの初期認証情報をブロックするかTelnet接続をリセットすべきだ。問題のコマンドシーケンスを検出するためのシグネチャも利用する。
 
翻訳:編集部
原文:Brickerbot botnet, the thingbot that permanently destroys IoT devices
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

Security Affairs

最終更新:4/25(火) 15:19
THE ZERO/ONE