• TOP
  • ニュース一覧
  • ボット型マルウェア「Neko」「Mirai」「Bashlite」の新亜種が立て続けに登場
2019/08/26

ボット型マルウェア「Neko」「Mirai」「Bashlite」の新亜種が立て続けに登場

トレンドマイクロは8月23日、公式ブログで「複数の脆弱性を利用してルータやデバイスを狙うボット型マルウェアの新亜種を確認」と題する記事を公開しました。7月22日~8月6日の期間に、トレンドマイクロが設置したハニーポットから、ルータやデバイスを標的とするマルウェアの新亜種が複数確認されたとのことです。

それによると、7月22日に、ボット型マルウェア体「x86.neko」(Backdoor.Linux.NEKO.ABとして検出)の検体を確認。7月29日に、利用する脆弱性が追加された亜種(Backdoor.Linux.NEKO.ACとして検出)がさらに確認されました。また7月30日に、「Mirai」の亜種「Asher」(Backdoor.Linux.MIRAI.VWIRCとして検出)、さらに8月6日に、「Bashlite」の亜種「Ayedz」(Backdoor.Linux.BASHLITE.SMJC、Backdoor.Linux.BASHLITE.SMJC8、およびBackdoor.Linux.BASHLITE.SMJC4として検出)が確認されました。

これらのマルウェアに感染したルータは、分散型サービス拒否(DDoS:Distributed Denial of Service)攻撃を実行するボットネットの一部として機能します。

「Neko」は、複数のアーキテクチャに対応したバージョンが存在するとともに、複数の脆弱性をスキャンする機能を持っていました。またバックドアコマンドを実行することで、ルータが情報を適切に処理して応答できなくするUDPフラッド攻撃およびUPD-HEXフラッド攻撃を実行可能です。標的としては、Eir製、D-Link製、Huawei製のルータ、DASAN製の家庭用GPONルータ、MVPower製のデジタルビデオレコーダ(DVR)、Web開発フレームワーク「ThinkPHP」、Africo製のデバイス等の脆弱性をスキャンします。

続いて7月29日に発見されたNekoの亜種では、Netgear製ルータ「Netgear DGN1000 / DGN2200」「Netgear R7000およびR6400(2016-6277)」が、新たに対象に加わっていました。この亜種は、防犯カメラ製品に関する文字列「awsec」、さらに「cisco」「wap54g」といった文字列をスキャンすることも明らかとなっています。ただし、これらの攻撃には不具合が存在し、実際の影響はないと考えられます。

7月30日に確認されたMiraiの亜種「Asher」は、典型的なMirai亜種の特徴を持っており、Unix系ユーティリティを提供するソフトウェア「BusyBox」を利用してデバイスに感染します。DASAN製家庭用GPONルータ、MVPower製デジタルビデオレコーダ(DVR)、Realtek製SDKの脆弱性をスキャンします。このうち2つは、NEKOと共通する脆弱性を狙っています。

さらに、8月6日に確認されたBashliteの亜種「Ayedz」は、46216番ポートを介して特定のIPアドレスに、感染デバイスに関する情報を送信します。具体的に送信する情報は、「device」(/usr/sbin/telnetdにファイルが存在するかどうか)、「files」(pythonやperlに関連するファイルが存在するかどうか)、「distro」(感染したデバイスのLinuxディストリビューション)、「port」(ファイルが発見できたかどうか)といった内容です。

またAyedzは、DDoS攻撃のためのバックドアコマンドを実行可能であると見られます。その他にも、「CNC」(コマンド&コントロールサーバを設定)、「HTTP」(HTTPフラッド攻撃)、「RAID」(STD + TCP フラッド攻撃)、「UPDATE」(コマンド&コントロールサーバから更新されたバイナリをダウンロード)といったコマンドも保持していました。

デバイスの製造を行うメーカーはもちろんユーザや企業も、マルウェアの脅威を防ぐために対策を講じることが大切です。信頼できるメーカーを選択し、ファームウェア・ソフトウェア・認証情報を定期的に更新してください。また不必要な機能は停止する等、適切な設定を行ってください。


Africo製デバイスをスキャンする「Neko」のコード


Africo製デバイスをスキャンする「Neko」のコード



おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop