• TOP
  • ニュース一覧
  • 独自プロトコルで通信するMirai亜種「Miori」、内部にソース販売サイト情報を発見
2019/06/20

独自プロトコルで通信するMirai亜種「Miori」、内部にソース販売サイト情報を発見

トレンドマイクロは6月19日、公式ブログで「新たに独自の通信プロトコルを持ったIoTマルウェア『Miori』、ソースコードも販売」と題する記事を公開しました。

「Mirai」の新しい亜種の可能性があるマルウェア検体を入手し解析したところ、従来の「Mirai」亜種とは異なる方法で遠隔操作のためのサーバ(C&Cサーバ)と通信を行うことがわかりました。この検体は、ファイル名や不正コード内の文字列に「Miori」の文字列を使用していました。2019年1月にも、「Miori」を名乗るマルウェアが見つかっていますが、これとは別の物です。

従来のMiraiやその亜種では、バイナリベースのプロトコルを用いてC&Cサーバとの通信を行っており、telnetで接続しEnterを入力すると、攻撃者に対し、ユーザ名とパスワードの入力を求めます。ここで正しくログインが行われると、攻撃者によるコンソール操作が可能になります。

一方、「Miori」が使うC&Cサーバに、telnetで接続しEnterを入力したところ、攻撃者ではなくリサーチャによる調査の接続と判断され、接続を拒否するメッセージが出力され、ユーザ名とパスワードを入力するプロンプトは表示されませんでした。解析を行ったところ、従来のMiraiやその亜種で使用されているプロトコルとは異なり、最初に特定の文字列を送るプロトコルになっていることがわかりました。

また、攻撃コマンドは暗号化した形で受信しますが、ここも従来のMiraiの用いるプロトコルとは異なっていました。暗号化形式は、単純な換字暗号方式であり、検体内にハードコードされている文字の対応表を用いて復号を行うものでした。また設定情報には、従来のMirai亜種に存在する「<亜種名>: applet not found」という文字列が存在しませんでした。このような独自プロトコルの採用、従来と異なる設定情報といった変化は、解析を困難化させるのが狙いと考えられます。

さらに、感染拡大に使用されると考えられる不正スクリプトも確認されました。この不正スクリプトでは、実行ホストのアーキテクチャにあったマルウェアをダウンロードし実行することが判明しています。また、実行時に引数も指定できるため、任意の引数によって攻撃キャンペーンを区別する等の操作も可能と考えられます。

そして、今回の検体中の文字列を検証したところ、ソースコードを販売するサイトのURLが記述されたメッセージが確認されました。当該サイトには、ソースコードを110ドルで販売するといった記載がありました。この販売サイトは、正規のEコマースサービス「Selly」を利用して構築されているようでしたが、攻撃者による詐欺の可能性もあり、実際にソースコードが入手できるかどうかは不明です。

今回の検体は、従来のMirai亜種とかなりの相違点があり、もしかすると“Miraiと関連しているように見せかけている”可能性も指摘されています。一方で、脆弱なIoT機器に感染を広めてDDoS攻撃の踏み台とする活動は変わっておらず、今後もこのようなIoTマルウェアの変化を捉えて対策を行っていくことが重要です。


C&Cサーバと通信を行うための不正コードの一部

C&Cサーバと通信を行うための不正コードの一部


おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop