拡がるSATORIボットネットの脅威。Miraiボットネットとの関連も

f:id:nanashi0x:20171208214017p:plain

セキュリティ研究者たちが、SATORIボットネットが280,000以上のIPアドレスボットネット配下に置いた事で警鐘を鳴らしている。

”SATORI”とは、日本語の「悟り」という言葉から名付けられている。

Qihoo 360 Netlabのセキュリティ研究者であるLi Fengpeiは、12月5日にSatoriボットネットがポート37215と52869を確認した。

SATORIは過去のMiraiボットネットとは異なる

Li氏がNetLabのブログに掲載した記事によれば、SATORIはMiraiの亜種であるものの、過去に作成されたMiraiの亜種とは異なるようだ。

過去のMiraiボットネットの亜種は、Telnetポートのスキャニングを行なってIoT端末に対して感染し、次々と感染端末を増やして拡大していく。

一方、SATORIボットネットはスキャナーを使用せず、ポート番号37215と52869に対して接続を試みるようだ。

Huawei端末の脆弱性が原因でSATORI拡大か

NetLabの調査によれば、 12月5日時点で、263,250にのぼるIPアドレスが37215番ポートをスキャンしており、19,403ものIPアドレスが52869番ポートのスキャンを起こっていたようだ。

Li氏は「SATORIがここまで拡大しているのは、恐らく37215番ポートに接続してゼロデイ脆弱性をエクスプロイトしている可能性があるのではないか」と指摘する。

インターネットプロバイダのCenturyLinkのセキュリティ・ストラテジスト、Dale Drew氏は、「Huawei製のルーターに存在するゼロデイ脆弱性をエクスプロイトしている可能性がある」と指摘する。

Dale氏の指摘する脆弱性とは、CheckPointによって11月末に公表された、攻撃者が遠隔からコードを実行できるバグである。

CheckPointの公表によれば、「Huaweiルーター・HG532にバグが存在しており、攻撃者はこのバグをエクスプロイトすることで遠隔から任意のコードを実行する事が出来る」という。

更なる詳細に関しては”未だ調査中”であり、今後新たな発表があるのを待つしか無い。

ポート52869番に関しては”既知”脆弱性をエクスプロイト

ポート52869番へのスキャンは、既知の脆弱性CVE-2014-8361)をエクスプロイトする試みであるという事が明らかになっている。

CVE-2014-8361は、2015年に発見されたRealtek脆弱性であり、パッチ当ても広く行われている可能性が高いことから、エクスプロイトの成功率は低いと言われている。

SATORIはMiraiとの関連性も

冒頭でも伝えたが、SATORIボットネットは、Miraiをベースに作成されたと言われている。

SATORIを操る攻撃者は、Miraiボットネットを使用する攻撃者と同一人物であるかどうかは明らかになっていない。

だが、Miraiボットネットで使用されるファイル名、静的機能、C&Cサーバー通信用のプロトコルが、SATORIの中で使用されているものと一致している事も多い為、関連性は強いと予想される。