• TOP
  • ニュース一覧
  • IoTマルウェア「Bashlite」が機能追加、UPnPが有効になったホームデバイスが標的
2019/04/19

IoTマルウェア「Bashlite」が機能追加、UPnPが有効になったホームデバイスが標的

トレンドマイクロは4月17日、公式ブログで「IoTマルウェア『Bashlite』、新たにUPnPを利用しスマートホーム機器を狙う」と題する記事を公開しました。IoTデバイスを狙うマルウェア「Bashlite」(別名:「Gafgyt」「Lizkebab」「Qbot」「Torlus」「LizardStresser」)が機能を更新していることが確認されました。

トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」のデータを分析したところ、すでに新しいBashliteによる攻撃が発生しており、3月21日時点で、台湾、米国、タイ、マレーシア、日本、カナダで活動が検出されています。

Bashliteは、IoTデバイスに感染してボットネットを構築し、「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」を行うマルウェアで、2004年に大規模なDDoS攻撃が確認されました。今回新たに確認されたバージョンでは、Belkin製のIoTデバイス「WeMo」が標的に追加されていました。「WeMo」は、スマートホームやホームオートメーションを実現するためのIoTデバイスです。WeMoのスマートスイッチやスマートプラグなどを使用することで、スマートフォンやそのボイスアシスタントを通じて照明や電化製品のON/OFFが可能になります。

以前のバージョンでは、Unix系OSのシェル「Bash」の脆弱性「Shellshock」を利用してデバイスに侵入していましたが、今回確認された新しいBashliteは、ペネトレーションテストのためのフレームワーク「Metasploit」のモジュールを使用することで、Universal Plug and Play(UPnP)APIを有効化しているWeMoデバイスを狙います。新しいBashliteは、遠隔からコードを実行し、対象デバイスに侵入。仮想通貨の発掘、バックドア活動、競合するマルウェアの削除等の機能も新たに追加されており、ボットネット構築以外にこうした活動を行います。複数のタイプのDDoS攻撃を実行するコマンドも発見されています。

攻撃の具体的な流れですが、Telnetをスキャンし、「root」「9615-cdp」「admin」「admin123」「huigu309」「xc3511」「vizxv」「Dvrdvs」のようなユーザ名とパスワードを使用した辞書攻撃を実行し、感染できるデバイスを検索。次に、脆弱なデバイスに、ドロッパのバイナリファイルを送り込みます。なおBashliteには、感染させるアーキテクチャに応じたドロッパのバイナリファイルが複数埋め込まれています。

トレンドマイクロの調査では、既知の脆弱性が修正されていないUPnPの実装が、多数インターネットに露出していることが確認されています。設計者および製造者は、自社製品の開発ライフサイクルにセキュリティを統合する必要があるでしょう。


<br />Bashliteの感染の流れ


Bashliteの感染の流れ

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop