Share :
2018-09-07

“CYFIRMAセキュリティアップデート-1-“ IoTボットネット「Hakai」の高度な進化と感染の拡大に警戒

skull

AUTHOR

Antuitリサーチチーム

 

今週、複数メーカーの“ルータ”を狙った攻撃で使われたことがニュースにもなっている「Hakai」というボットネットですが、我々の調査では、様々なIoT機器への攻撃にも使わる可能性があり、今後警戒が必要です。

「Hakai」ボットネットと呼ばれるIoTマルウェアの最新の亜種が発見されています。ハッカーたちはこのIoTマルウェアの亜種に対して、徐々に高度な属性を組み込み、洗練化させてきました。今後ますます、多くのシステムを危険にさらす可能性が高いのです。

今年初めに発見された「Hakai」の変種は、数年前にオンラインで流出したIoTマルウェアの変種である「Qbot」をベースにしていました。「Hakai」のこの最初のバージョンは、複雑なプログラムではなく、大規模な攻撃キャンペーンも実行されませんでしたが、ハッカーたちはマルウェアコードをすばやく変更し、ボットネットが発見されてから1ヶ月以内に被害が観測されています。

IoTマルウェア「Hakai」の進化
以下に、「Hakai」の進化を追ってみます。

  • サイバーセキュリティ業界において、最初に「Hakai」による攻撃が検知されたのは、2018年7月21日でした。コードネーム「Anarchy」と名乗るハッカーは、1日で1万8千台のルータに損害を与えたと主張しています。ハッカーは、Huawei HG532ルータのリモートコード実行の脆弱性であるCVE-2017-17215を利用しました。このCVE-2017-17215は有名な脆弱性であり、以前にはSatoriボットネットとMiraiボットネットにも悪用されています。感染したデバイスは、DDoS(Distributed Denial-of-Service)攻撃を実行するために利用され、悪質なパケットをポート37215に送信してリモートコードを実行したのです。
  • 以来、IoTマルウェアによる攻撃は増加しています。同年8月になると、「Hakai」ボットネットはますます多くのデバイスを脅かすようになり、より多くのセキュリティ上の欠陥を悪用してきています。
  • 当初は、「Hakai」ボットネットはHuaweiルータだけに感染していました。このボットネットはその後、D-LinkとRealtekのルータにも感染しました。このボットネットは、デフォルトまたは弱いパスワードを持つIoTデバイスをtelnetスキャナで検索し、ターゲットにしました。

HNAPプロトコルをサポートするD-Linkルータは、IoTボットネットHakaiのターゲットとなっていました。このマルウェアは、2つのD-Linkルータの脆弱性を利用しています。マルウェアがDIR-645ファームウェアのセキュリティ上の欠陥を悪用し、ワイヤレスLANおよびWANネットワーク上のハッカーがワイヤレスルータに対するコマンド注入および、バッファオーバーフロー攻撃を実行することが可能となります。

さらに同8月までに、中南米で広く拡散されていることが判明しました。 同年8月20日、研究者らは、ブラジルを中心にラテンアメリカのD-Link DSL-2750Bルータのセキュリティ上の欠陥を悪用しようとするHaikaiボットネットの亜種を発見しました。

そして、最近になり、さらに2つの新しい亜種が発見されています。 それぞれ「Kenjiro」と「Izuku」と呼ばれています。これらにはいくつかのコードのバリエーションがあります。

Antuitの見解

マルウェアの作成者は、攻撃の成功率を高めるためにマルウェアコードに変更を加え、常に努力しています。Hakaiボットネットの作成者たちは、より多くのデバイスを侵害する為に、マルウェアスクリプトに高度な改良を加えています。このボットネットマルウェアにかかると、デフォルトまたは弱いパスワードでさえハッカーがIoTデバイスを侵害して、コントロールするのに十分です。

さらに、IoTデバイスの全所有者の15%以上が、購入したデバイスのデフォルトパスワードを変更していないと昨年発表された研究報告書に記載されていた点に注目しました。これにより、マニュアルに記載されているパスワードと同じパスワードを持つ数百万のIoTデバイスが脆弱だという事になります。ボットネットを作成するマルウェア開発者は、ブルートフォース攻撃を展開し、既定のパスワードのリストを利用してこれらのデバイスを侵害し、それらをIoTデバイスのボットネットの一部として組み込みます。

推奨対策
以下、我々の推奨する対策です。

  • 前述のIoCを使用してIDSシステムとSIEMに検出ルールを追加し、感染の可能性を探してください。検知された場合は、攻撃経過の根本原因を見つけるために感染をさらに調査する必要があります。
  • 前述のホストインジケータをブロックするように、エンドポイントセキュリティシステムとアンチウイルスシステムを構成する。
  • IoTデバイスのデフォルトの認証情報を使用しないでください。もしデフォルトの認証情報のままご利用されている場合、ハッカーは簡単に機器を攻撃できてしまいます。また、定期的にパスワードを変更してください。
  • 定期的に最新のマルウェアシグネチャを使用して、ファイアウォールとアンチウイルスソフトウェアをアップデート/パッチしてください。
  • 常に機器を最新の状態に保ってください。更新情報やパッチをチェックし、最新化してください。
  • リモート管理をオフにすると、攻撃者はリモートアクセスを介してデバイスにアクセスできなくなります。telnetでリモート管理をオフにしてみてください。
  • ネットワークセグメンテーションを実装し、パブリックネットワークからデバイスを分離してください。
  • デバイスを購入する前に、IoTデバイスの機能とセキュリティ機能を調べてください。
  • ネットワーク上で使用されるIoTデバイスの監査を定期的に実行してください。
  • Wi-Fiネットワークアクセスを設定する際に強力な暗号化方式を使用するようにしてください。(WPA)
  • 不要な機能やサービスを無効にしてください。
  • 要件とセキュリティポリシーに従って、IoTデバイスのデフォルトのプライバシーとセキュリティ設定を変更してください。
  • 未使用の場合は、IoTデバイスへのリモートアクセスを無効にするか、保護してください。
  • 可能であれば、無線の代わりに有線接続を使用してください。
  • ハードウェアを停止した際に、デバイスが安全でない状態にならないようにしてください。

お問い合わせ