拡がるSATORIボットネットの脅威。Miraiボットネットとの関連も
セキュリティ研究者たちが、SATORIボットネットが280,000以上のIPアドレスをボットネット配下に置いた事で警鐘を鳴らしている。
”SATORI”とは、日本語の「悟り」という言葉から名付けられている。
Qihoo 360 Netlabのセキュリティ研究者であるLi Fengpeiは、12月5日にSatoriボットネットがポート37215と52869を確認した。
SATORIは過去のMiraiボットネットとは異なる
Li氏がNetLabのブログに掲載した記事によれば、SATORIはMiraiの亜種であるものの、過去に作成されたMiraiの亜種とは異なるようだ。
過去のMiraiボットネットの亜種は、Telnetポートのスキャニングを行なってIoT端末に対して感染し、次々と感染端末を増やして拡大していく。
一方、SATORIボットネットはスキャナーを使用せず、ポート番号37215と52869に対して接続を試みるようだ。
Huawei端末の脆弱性が原因でSATORI拡大か
NetLabの調査によれば、 12月5日時点で、263,250にのぼるIPアドレスが37215番ポートをスキャンしており、19,403ものIPアドレスが52869番ポートのスキャンを起こっていたようだ。
Li氏は「SATORIがここまで拡大しているのは、恐らく37215番ポートに接続してゼロデイ脆弱性をエクスプロイトしている可能性があるのではないか」と指摘する。
インターネットプロバイダのCenturyLinkのセキュリティ・ストラテジスト、Dale Drew氏は、「Huawei製のルーターに存在するゼロデイ脆弱性をエクスプロイトしている可能性がある」と指摘する。
Dale氏の指摘する脆弱性とは、CheckPointによって11月末に公表された、攻撃者が遠隔からコードを実行できるバグである。
CheckPointの公表によれば、「Huaweiのルーター・HG532にバグが存在しており、攻撃者はこのバグをエクスプロイトすることで遠隔から任意のコードを実行する事が出来る」という。
更なる詳細に関しては”未だ調査中”であり、今後新たな発表があるのを待つしか無い。
ポート52869番に関しては”既知”脆弱性をエクスプロイト
ポート52869番へのスキャンは、既知の脆弱性(CVE-2014-8361)をエクスプロイトする試みであるという事が明らかになっている。
CVE-2014-8361は、2015年に発見されたRealtekの脆弱性であり、パッチ当ても広く行われている可能性が高いことから、エクスプロイトの成功率は低いと言われている。
SATORIはMiraiとの関連性も
冒頭でも伝えたが、SATORIボットネットは、Miraiをベースに作成されたと言われている。
SATORIを操る攻撃者は、Miraiボットネットを使用する攻撃者と同一人物であるかどうかは明らかになっていない。
だが、Miraiボットネットで使用されるファイル名、静的機能、C&Cサーバー通信用のプロトコルが、SATORIの中で使用されているものと一致している事も多い為、関連性は強いと予想される。
- Warning: Satori, a Mirai Branch Is Spreading in Worm Style on Port 37215 and 52869
- Satori Botnet Has Sudden Awakening With Over 280,000 Active Bots
- 100,000-strong botnet built on router 0-day could strike at any time
- Realtek SDK - Miniigd UPnP SOAP Command Execution (Metasploit)
- Huawei HG532 Router Remote Code Execution (Check Point Advisories )
- Mirai Activity Picks up Once More After Publication of PoC Exploit Code