• TOP
  • ニュース一覧
  • Torネットワークを利用する「Mirai」亜種が出現、リサーチャの活動に対抗か
2019/07/30

Torネットワークを利用する「Mirai」亜種が出現、リサーチャの活動に対抗か

トレンドマイクロは7月26日、公式ブログで「Torネットワークを利用する『Mirai』亜種IoTマルウェアを発見」と題する記事を公開しました。従来と異なり、TCP/IPでの通信経路を匿名化する「Tor」(The Onion Router)上にC&Cサーバを設置しているMirai亜種(検出名「Backdoor.Linux.MIRAI.VWIRA」)が発見されました。

今回入手した検体には、30個の接続先アドレスが初期接続先としてハードコードされていました。これらを動的に解析したところ、いくつかの接続先が「socks5プロトコル」に沿った応答を行っており、socks5プロキシサーバと推測されます。

さらに解析を進めると、この検体はランダムにプロキシサーバを選出して、socks5プロトコルで接続し、Torネットワーク上のC&Cサーバへの接続を中継させていることが判明しました。実際に検証環境にTorプロキシを設置し、Torプロキシを経由してC&Cサーバに接続したところ、攻撃者用のログインプロンプトが確認されました。

この検体は、特定のIPカメラやDVRといったIoT機器が用いるポートをスキャンし侵入します。Tor上のC&Cサーバに接続した後は、従来のMiraiやその亜種で使用されているプロトコルと同様のプロトコルを用いて活動します。Torネットワーク上のC&Cサーバを使用するIoTマルウェアとしては、同じくMirai亜種の「BrickerBot」が2017年に確認されていますが、今回の検体はまったくの別物で、DDoS攻撃が主な目的と見られます。また、犯罪者がC&CサーバをTorネットワーク上に設置する理由としては、サーバのIPアドレスを隠し、リサーチャの活動から逃れるためと考えられます。

Miraiもしくはその亜種となるIoTマルウェアに感染しないよう、インターネットに露出させる必要のないIoT機器は、外部からアクセスできない状態で運用するようにしてください。あるいは認証情報を初期設定から変更し、より強固なものに変更してください。


発見されたMirai亜種が、最初に接続する可能性のあるIPアドレスとポート番号


発見されたMirai亜種が、最初に接続する可能性のあるIPアドレスとポート番号


おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop