マルウェア

複数のエクスプロイトが組み込まれたIoT/LinuxボットネットMirai、GafgytがApache Struts、SonicWallを狙う

Clock Icon 3 min read
Related Products
Advanced WildFire iconAdvanced WildFire

This post is also available in: English (英語)

概要

Unit 42は、よく知られているIoTボットネットMirai、Gafgytの亜種を新たに発見しました。これは、2016年11月以降の前例のないDistributed Denial of Service (DDoS)攻撃に関わりのあるIoTボットネットです。

これらの亜種は、次の2つの理由から注目に値します。

    • 新しいMiraiは、2017年にEquifaxのデータ漏洩を引き起こしたものと同じApache Strutsの脆弱性を標的にしています。
    • 新しいGafgytは、SonicWallのサポート期限が切れた旧バージョンのGlobal Management System (GMS)に作用する、新たに発見された脆弱性を標的にしています。

このような出来事は、古いバージョンを使用する企業向けデバイスを標的にしたIoTボットネットが増えていること示唆しています。

すべての組織は、システムだけでなくIoTデバイスも最新の状態にし、パッチを適用するように努める必要があります。パロアルトネットワークスのお客様については、WidlFireが、悪意があると判断したすべての関連サンプルを検出します。その他の保護については、以下の結論で言及します。

調査

2018年9月7日、Unit 42はMirai亜種のサンプルを調べ、16種類の個々の脆弱性を標的とするエクスプロイトが組み込まれていることを発見しました。過去には、Miraiの1つのサンプルに複数のエクスプロイトが使用されていたことがありましたが、これはMiraiがApache Strutsの脆弱性を標的とする初めての事例です。

さらに、Unit 42は8月中に、すでに別のIPアドレスに解決されたこれらのMiraiサンプルをホストしているドメインを見つけました。その間、このIPは、旧バージョンのSonicWall Global Management System (GMS)に作用するSonicWallの脆弱性(CVE-2018-9866)を狙ってエクスプロイトを組み込んだGafgytのサンプルを断続的にホストしていました。この出来事は、SonciWallにすでに通知されています。

これらのIoT/LinuxボットネットによるApache StrutsおよびSonicWallを標的としたエクスプロイトの組み込みは、標的が家庭向けデバイスから企業向けデバイスへと大きく移行していることを示唆している可能性があります。

複数のエクスプロイトが組み込まれたMirai亜種のApache Strutsエクスプロイト

今回発見した新しい亜種に組み込まれているApache Strutsを標的とするエクスプロイトは、巧みに作られたContent-Type、Content-Disposition、またはContent-Length HTTPヘッダーを使用して、任意コマンド実行の脆弱性(CVE-2017-5638)を攻撃します。図1にその形式を示します。ペイロードは強調表示されています。

図1 CVE-2017-5638エクスプロイトの形式

このMirai亜種に組み込まれた他の15種類のエクスプロイトについては、以下の付録の表2で詳しく説明します。

これらのサンプルはMiraiの亜種ですが、Miraiが通常使用する総当たり攻撃機能を備えておらず、C2としてl[.]ocalhost[.]host:47883を使用し、Miraiと同じ暗号スキームでキー0xdeadf00dを使用します。

Gafgyt亜種のSonicWall GMSエクスプロイト

2016年11月まで過去に遡ると、上記のMirai亜種でC2として機能しペイロードを提供するドメインl[.]ocalhost[.]hostが、他のMiraiアクティビティにも関与していたことがわかりました。

2018年8月のある時期に、同じドメインが別のIPアドレス185[.]10[.]68[.]127に解決されました。その時、私たちは、そのIPが最近発見されたSonicWallの脆弱性(CVE-2018-9866)を狙うエクスプロイトが組み込まれた、Gafgytのサンプルをホストしていることを発見しました。この脆弱性は、現在サポートされているバージョンに含まれない古いサポート対象外のSonicWall Global Management System (GMS) (8.1以前)に影響します。

このエクスプロイトが標的とする脆弱性CVE-2018-9866は、set_time_configメソッドに対するXML-RPCリクエストがサニタライズされていないために生じます。図2に、サンプルで使用されたエクスプロイトを示します。ペイロードは強調表示されています。

図2 SonicWallのset_time_config RCEの形式

これらのサンプルが初めて明らかになったのは8月5日で、この脆弱性に対応するMetasploitモジュールが公開されてから一週間も経っていないときでした。2018年7月17日に公開されたこの件に関するSonicWallの公式な報告は、ここで確認できます。

私たちが発見したサンプルは、MiraiではなくGafgytのコードベースを使用して構築されています。以下の表で、使用されているコマンドの一部を説明します。

コマンド 説明
!* SCANNER <HUAWEI/GPON/DLINK/SONICWALL/OFF> ボットは、渡された引数に基づいて、デバイスへの関連するエクスプロイトの送信を開始します。

  • DLINK: D-Link DSL 2750B OSコマンド インジェクションを送信します(表2を参照)
  • SONICWALL: 図2のエクスプロイトを送信します
  • OFF: ボットに関連するプロセスの実行を強制終了します
!* BIN_UPDATE <HTTP SERVER> <FILE LOCATION> <HTTP_SERVER>から更新を取得し、それを<FILE_LOCATION>に保存してインストールします
!* BN <IP> <PORT> <TIME> <TIME>秒の間、<IP>:<PORT>に対するBlacknurse DDoS攻撃を開始します

表1 亜種がSonicWallエクスプロイトで使用するコマンドの一部

Blacknurseは、CPUを高負荷にする、ICMPタイプ3コード3のパケットを伴う低帯域幅DDoS攻撃で、2016年11月に初めて発見されました。このDDoS手法を使用するサンプルを初めて見たのは、2017年9月のことです。

結論

これらのIoT/LinuxボットネットによるApache StrutsおよびSonicWallを標的としたエクスプロイトの組み込みは、標的が家庭向けデバイスから企業向けデバイスへと大きく移行していることを示唆している可能性があります。

パロアルトネットワークスのAutoFocusを使用しているお客様は、エクスプロイトの個々のタグを使用してこれらのアクティビティを追跡できます。

AutoFocusのお客様は、以下のマルウェア ファミリのタグも使用できます。

WildFireは、すべての関連サンプルを悪意があるものとして検出します。

以下に、Apache Strutsを攻撃するMirai亜種で標的とされる他の脆弱性を示します。

表2 同じサンプルで使用された他のエクスプロイト

 

脆弱性 影響を受けるデバイス エクスプロイトの形式
CVE-2017-5638 Apache Strutsのパッチ未適用のデバイス
Linksys RCE Linksys Eシリーズ デバイス

サンプルには、以下を対象とする、GETおよびPOSTリクエストを使用したエクスプロイトの他のバージョンが含まれています。
Vacron NVR RCE Vacron NVR デバイス 以前のキャンペーンと同様

この亜種には、同じエクスプロイトのPOSTリクエスト版も含まれています。
D-Link command.php RCE 一部のD-Linkデバイス
CCTV/DVR RCE CCTV/DVR 70以上のベンダーからのRCE CCTV、DVR 以前のキャンペーンと同様
EnGenius RCE EnGenius EnShare IoT Gigabit Cloud Service 1.4.11
AVTECH 認証されていないコマンド インジェクション AVTECH IP Camera/NVR/DVR デバイス
CVE-2017-6884 Zyxelルーター
NetGain 'ping'コマンド インジェクション NetGain Enterprise Manager 7.2.562
NUUO OS コマンド インジェクション NUUO NVRmini 2 3.0.8
NUUOS OS コマンド インジェクション NUUO NVRmini 2 3.0.8
Netgear setup.cgi unauthenticated RCE DGN1000 Netgear ルーター 以前のキャンペーンと同様
HNAP SoapAction-Headerコマンド実行 D-Linkデバイス 以前のキャンペーンと同様

この亜種は、上記リンクのキャンペーンで使用された不完全なものとは違い、有効なバージョンのエクスプロイトを使用します。例えば、SOAPActionをターゲットにします。 http://purenetworks[.]com/HNAP1/GetDeviceSettings/
D-Link OSコマンド インジェクション D-Link DSL-2750B 以前のキャンペーンと同様
JAWS Webサーバー認証シェル コマンドの実行 MVPower DVRなど 以前のキャンペーンと同様
CVE-2018-10561, CVE-2018-10562 Dasan GPON

ルーター

 以前のキャンペーンと同様

この亜種には、同じエクスプロイトのPOSTリクエスト版も含まれています。

IOC

Apache StrutsエクスプロイトCVE-2017-5638を使用したサンプル

  • d6648a36f55d6b8ffd034df7d04156d31411719ce9bc28e6d30c8427feacb397
  • 710d56a90b5f61c7ae82fcf305d23d48476e4f237ffff9d68b961171f168f255
  • 52274c46933c20aaf64fd4c11557143fcfdc76eef192743fafd1b3a8bed3f4d2
  • 078eef70d754e9b64bc783f085846a2e8ae419653a79ed2386c4ade86fde68cb
  • ef090093496ccdab506848166a07554bfa74eb98a0546171b84fc73861f67c79
  • 49cdb537f5e4081362545532a623f597212c8cea847cf9f2b2f1fe1f3cd0ec2f
  • 99c22a0c0e252ab123fb3167f49d94dc12960b79565ca6dfd28f2ff5b0346348
  • ae2354a5d8b84fb6ea6fc4b9ca3060959d5c0c77684cd2100731df2a3c7a204e
  • 1913cf8e65114136cc309e72c384b717f0aeaaeae0c040188648c4afebce1669

Sonicwall GMSエクスプロイトCVE-2018-9866を使用したサンプル

  • 1814c010f5e7391c7ea38850f9caf0771866e315f8d0c58c563818e71d30c208
  • 29540468514cd48b6c2571722018dffb49d12f99c95b248a44a1455fff01acfb
  • 39891a1c13e4e6ec9de410201f697d23c05e83a29ec0010c6c62c6829386e6a6
  • 596270e91ccee3ec04a552bafde586af127ecac7141852edb9707ac6c4779a99
  • 68b27935c7d064478339f7d95b57ff06ffa1efbd81009b4a2870c5cf3e0b0b35
  • 92a4c6ae034c3a03c21b74bdc00264192e60a85deedd90b99a3e350758eb85c1
  • aab0ec600cdf57f28f9480ff3a9d3547f699af005c015b74c5c9e39a992570b6
  • d8fbf6d68993045b4840729c788665ab10c50c42b27246a290031664f3b956eb
  • dafe1b513183902692c8ba8b2a95fede7c13937e49bf21294de448df05edff18
  • f89d742c4d3312ac9bd707a9135235482c554e369cb646dcd97f6a14b4210136
  • fab034d705b3ad7a10101858daf5da93a88f8bfd509dee9b8072678b27290ed3

インフラストラクチャ

  • l[.]ocalhost[.]host
  • 185[.]10[.]68[.]213
  • 185[.]10[.]68[.]127

Tags

目次

関連記事

関連項目 リソース

Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of a vulnerability discovered in Harbor. Close-up view of a circuit board with an illuminated exclamation mark symbol at the center, surrounded by intricate blue circuitry and digital data elements, indicating a warning or error in the system.
category icon脅威リサーチ

クラウドネイティブ コンテナー レジストリー Harbor における BOLA 脆弱性の特定
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
A pictorial representation of BOLA vulnerabilities found in Easy!Appointments. A person's hands type on a laptop. Superimposed graphically before the screen is code appearing in three separate streams by color, before joining together in many lines.
category icon脅威リサーチ

生成 AI ツールによる Easy!Appointments の BOLA 脆弱性の特定自動化
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A pictorial representation of vulnerabilities affecting LangChain.
category icon脅威リサーチ

LangChain の生成 AI における脆弱性 (CVE-2023-46229、CVE-2023-44467)
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
Abstract illustration of a network sppread like a spiderweb, connecting covering the globe and symbolizing data or communication links.
category icon主なサイバー脅威

[2024-07-11 09:08 JST 更新] 脅威に関する情報: CVE-2024-6387 − OpenSSH における RegreSSHion の脆弱性
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow