【日刊】13年ぶりにトロイの木馬”Hacker's Door”が復活、IoTデバイスを狙う巨大なボットネット”Reap”を確認、Whole Foodsのインシデントが”解決”--忙しい人のためのセキュリティニュース(2017/10/20)
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- 13年ぶりにトロイの木馬”Hacker's Door”が復活
- IoTデバイスを狙う巨大なボットネット”Reap”を確認
- Whole Foodsのインシデントが”解決”
- IBMが”うっかり”自社サイトのドメインを失効したまま放置
それでは早速、参りましょう!
13年ぶりにトロイの木馬”Hacker's Door”が復活
2004年から2005年にかけてダークネットで販売され多くのクラッカー達が使ってたトロイの木馬『Hacker's Door』による攻撃が、最近になってCylanceのセキュリティ研究者によって再び確認された。
実は、Hacker's Doorが確認されるのは13年ぶりだ。
現在Hacker's Doorは、開発者である”yyt_hac”と名乗る人物によって個人的に販売されており、現代の64bit OSにも対応できるようにアップデートされた。
Hacker's Doorの影響について以下にまとめる。
- Hacker's Doorの挙動
- ターゲット端末のシステム情報を収集
- スクリーンショット、ファイルの収集
- 追加ファイルのダウンロード
- 他のプロセス・コマンドの実行
- プロセスのリストとKill
- Telnet通信、RDPサーバーの開設
- 現行セッションからWindowsの認証情報の取得
今のところHacker's Doorを使った攻撃が多く確認されていないのだが、現段階で中国のAPT専門クラッカー集団”Winnti”による使用が確認された。
Winntiは、Kasperskyが2013年にWinntiに書いたブログ記事によると、2009年に35ものゲーム開発者用サーバーに侵入し、ゲームの海賊版を開発するためのソースコードや、ゲーム内の仮想コイン等を盗み出そうとした。
今Cylanceの研究者たちがが手に入れているデータでは、Winntiがどのような目的を持ってHacker's Doorを使っているのかは不明だが、Winntiの過去の攻撃傾向を見ると、RATを使って金銭に関わるデータを盗み出している事が多い。
したがって、Winntiは今回のHacker's Doorを使った攻撃においても何かしら”お金に関わる”データを狙っている可能性が高いといえる。
Reference内にリンクを貼ってありますが、Cylanceの記事にHacker's Doorのコンポーネント、コマンド、ファイル名などが記載されています。
Reference
IoTデバイスを狙う巨大なボットネット”Reap”を確認
9月中旬から、これまでに確認された事のなかったIoTデバイスを狙うボットネットが確認されている。
このボットネットはIoT_reaper、又はIoTroopと呼ばれている。(以下、Reaperとする)
中国のQihoo 360 Netlabと、イスラエルのCheck Pointによって、Reaperが確認された。
Netlabの調査によれば、昨日(2017/10/19)の段階で、Reaperが管理するC&Cサーバーの1つは、10,000台ものボットをコントロールしているという。
IoTデバイスを狙うボットネットとしては、2016年9月下旬に発生したDDoS攻撃を引き起こした”Mirai”ボットネットの記憶が新しいと思う。
だがMiraiと、今回発見されたReaperを比べると、その拡散方法が違っているようだ。
Miraiの場合、主なターゲットはIPカメラやインターネットルーターだった。
それらに対して、オープン設定になっているTelnetポートをスキャンし、攻撃者が事前に容易したデフォルトID/パスワードリストでログインしようとしたのだ。
一方Reaperは、未パッチの脆弱性をエクスプロイトする。
つまり、既にPoCが公開されている脆弱性を使って、パッチされていないシステムが無いかスキャンするようだ。
そして脆弱性のエクスプロイトが成功すると、ターゲット端末をC&Cサーバーに接続し、ボットネットの一員とする。
デフォルト設定を使わずにID/パスワードを変更していても、定期的にパッチが当てられていなかったり、アップデートが用意されていないIoTデバイスの方が多いことは想像に難くない。
その為、QihooとCheck Pointのセキュリティ研究者は、「Miraiボットネットよりも大規模なDDoS攻撃が発生する可能性がある」と予想している。
Reaperがターゲットとするデバイスを以下にまとめる。
- Reaperのターゲット
- D-Link 1, D-Link 2
- Netgear 1, Netgear 2
- Lynksys
- GoAhead
- JAWS
- Vacron
- AVTECH
- MicroTik
- TP-Linkルーター
- Synology NASデバイス
- Linuxサーバー
以上が、本記事の執筆段階(2017/10/21)でわかっている、Reaperがエクスプロイトする脆弱性である。
未だにReaperによるDDoS攻撃は確認されていないようだが、DarkReadingの記事によれば、”30日以内に大規模なDDoS攻撃が発生する可能性がある”と指摘している。
未だにボットネットとしては成長段階にあるため、今後さらに脆弱性が追加され、近々大規模な攻撃が行われるであろう。
Twitter上で空夜 るなさん(@kuuyaruna)に教わったのですが、セキュリティ専門家の鵜飼氏によれば、”ソフトウェアでは当たり前に潰さされている既知の脆弱性がIoTデバイスには普通に存在する”ようです(先端技術セミナー)。KRACKに関してもIoTデバイスが後回しにされるニュースを見た事があるので、同様にパッチがなされていないという事なのでしょうか。
Reference
- 50万台のIoTデバイスを乗っ取ったDDoS攻撃「Mirai」の引き金になったダメすぎるパスワード60個
- A Gigantic IoT Botnet Has Grown in the Shadows in the Past Month
- THE REAPER IOT BOTNET HAS ALREADY INFECTED A MILLION NETWORKS
- A Gigantic IoT Botnet Has Grown in the Shadows in the Past Month
- 先端技術セミナー
Whole Foodsのインシデントが”解決”
先月”WholeFoods”で起きたインシデントが解決したようだ。
WholeFoodsが実施した対処法は、クレジットカード情報が漏洩した店舗でPOSシステムの入れ替えとの事。
尚、WholeFoodsを先月買収したAmazon.comのクレジットカード情報漏洩は発生していないと公表している。
IBMが”うっかり”自社サイトのドメインを失効したまま放置
先月の9月6日の20時、DNS逆引きとグローバル・ロードバランシング・サービスが使用不能になった事があったようだ。
IBMの調査によると、上記2つのサービスが接続していたドメインの有効期限が失効しており、”Hold”ステータスになったままだったという。
失効したドメインは以下の2つ。
- global-datacenter.com
- globaldatacenter.net
Reference
