Miraiボットネットが再び拡大。ZyXEL社のPK50001ZルーターのPoC公開が原因か。

f:id:nanashi0x:20171125195532j:plain

世界中に拡散して各所にDDoS攻撃の被害をもたらしたMiraiボットネットだが、最近になってPoCが公開され、再び拡大が確認されているようだ。

PoCが公開されたのは2017年10月31日で、PoCのエクスプロイトコードを使用したMiraiによるスキャンは、11月22日(水)に確認された。

Miraiのスキャンは、セキュリティ研究者であるLi Fengpei氏によって確認され、Li氏のブログに掲載されている。

Miraiボットネットが再び拡散し始めた主な原因は、無線ルーターのPoCが公開された事である。

そこでこの記事では、

・PoC該当の無線ルーターのPoCに関する説明

から始め、その次に

・最近再び拡散し始めたMiraiについての説明

をしていきたいと思う。

ZyXEL社のPK50001Zルーター対象のPoCが公開

ネットワーク機器を製造するZyXEL社の、PK50001Zというモデルのルーターを対象としたPoCが公開された。

このPoCは、脆弱性(CVE-2016-10401)をエクスプロイトするものだ。

脆弱性(CVE-2016-10401)は、ZyXEL PK5001Zの”su”用パスワードが”zyad5001”とデフォルト設定されており、この脆弱性をエクスプロイトすることで、攻撃者はrootと同等の権限でコードを実行することが出来る。

suパスワードを知っているだけでは、ルーター自体にログインすることが出来ないので意味が無い。

しかしZyXEL社の端末には、

  • admin/CentryL1nk 又は
  • admin/QwestM0dem

Telnet認証情報がデフォルト設定されているようだ。

つまり、この認証情報を使用し、su用パスワードをハードコードしたスクリプトを回せば、攻撃者はZyXEL社のPK5001Zにログインすることが出来てしまう。

MiraiのターゲットにPK50001Zが追加された

さて、続いては「最近再び拡散し始めたMiraiボットネットについての説明」に移る。

上記したZyXEL社のPK5001ZのPoCは、Miraiボットネットスクリプトにも追記されたようだ。

なぜなら、Miraiボットネットはそもそもインターネット上の脆弱なTelnetポートをスキャンするボットネットだったからだ。つまり、ZyXEL社のPK5001ZのPoCと相性が良い。

Li氏は、ポート23番と2323番に対するスキャン件数が急増したことを確認した。

スキャンでは、上記したZyXEL社のPK5001Zの、Telnet認証情報(CentryL1nk、又はQwestM0dem)を使用している事が確認されている。

f:id:nanashi0x:20171125195735p:plain

(時間別にTelnetへのスキャン件数を示したグラフ。Li氏のブログより引用。)

個人でセキュリティ研究者をしているTroy Mursch氏も、自身のツイートでMiraiボットネットTelnetポートをスキャンしている事を確認した事を報告している。

参照URL(外部リンク)

殆どのMiraiボットネットはアルゼンチンに位置

Li氏、Mursch氏のいずれも、今回のMiraiボットネットのスキャンによって感染した端末はアルゼンチンに位置していると報告している。

Li氏は、11/22時点で、過去60時間でおよそ100,000ものIPアドレスTelnetポートのスキャンを行なっており、そのうち65,700件のIPアドレスがアルゼンチンのローカルISPである”Telefonica de Argentina”に属するようだ。

今のところ、Miraiのボットは端末が再起動されると取り除かれてしまう。その事から、Miraiボットネットの規模は日によって大きく変化しており、Herderは常にポートのスキャンを行わなければならない。

TelefonicaのユーザーからはMiraiボットネットによる被害レポートなどは上がっていない事から、まだ同サービスのユーザーは知らされていない事が予想されている。