54時間DDoS攻撃を起こす新しいMiraiの亜種

Webアプリケーションファイアウォールのベンダーで有名なImperva社が新しいDDoS攻撃を計測したというインタビュー記事をご紹介します

Researchers are tracking a new variant of the Mirai malware after it launched a 54-hour long DDoS attack against a U.S. college.

ミライマルウェアの亜種が、先月、54時間の長時間の攻撃で米国の大学を撃退した。 研究者は、この最新のMiraiの亜種が、 DNSプロバイダDynとKrebs on SecurityのWebサイトをターゲットに、 10月に見出しを出した悪名高いMiraiマルウェアのより強力なバージョンであると言います。

セキュリティ企業Impervaの技術概要によると、DDoS攻撃の背後にあるIoTボットネットは、アプリケーション層の攻撃でそのターゲットにHTTPトラフィックを氾濫させているという。

研究者らは、攻撃者が9,793台のCCTVカメラ、DVR、ルータを利用しており、元のMiraiマルウェアと同じ脆弱性を利用していると述べています。 「同じ攻撃パターンや同じ脆弱性が悪用されているのを目撃している。 昨年Miraiのようにtelnetポートに接続することができます」とImporvaのセキュリティ研究専門家Dima BerkermanはThreatpostとのインタビューで述べています。

Berkermanによると、複数日のDDoS攻撃は毎秒30,000要求のトラフィックフローを維持し、37,000でピークに達しました。 「これはMiraiボットネットの中で最も多く見られたものです」とBerkerman氏は述べています。

10月に発見されたMiraiマルウェアは、ルータ、IP接続されたカメラ、DVRなどの接続されたデバイスを探してインターネットを継続的にスキャンします。 マルウェアは、デフォルト、弱い、またはハードコードされた資格情報に依存するデバイスを利用し、DDoS攻撃で使用されるボットネットに参加するよう強制します。

名前のない米国の大学に対する攻撃を分析したBerkermanによると、新しいバージョンは、以前のバージョンで使用されていた5つのユーザーエージェントの代わりに30のユーザーエージェントの代替が含まれていることを除いて、オリジナルとほぼ同じです。 「ユーザーエージェントの範囲が広ければ広いほど、ミライのこのバージョンは緩和努力を回避することができるだろう」と彼は語った。

研究者らは、攻撃者によって制御される世界全体の9,793のIPアドレスのうち、18%が米国、11%がイスラエル、11%が台湾に所在しているとしている。

「このMiraiの変種は、2016年後半に見られたアプリケーション層のDDoS攻撃活動の増加の兆候となるかもしれません」とBekerman氏は述べています。 それは、すべてのアプリケーション層の攻撃の90%以上が6時間以内に持続するため、この期間の攻撃は独自の部類であると言いました。

同氏は、オリジナルのMiraiマルウェアが第2層と第3層でフラッドベースの攻撃を開始したが、最新の攻撃はレイヤ7でのHTTPベースの攻撃であったと指摘した。

Impervaは、2月の攻撃で使用されたすべてのIPの56%が1つのベンダーが製造したDVRに属していると述べた。 Berkerman氏はDVRメーカーの特定を拒否したが、感染したデバイスのそれぞれはCCTVカメラと組み合わせて使用されていると述べた。

「これらのデバイスのtelnet(23)ポートとTR-069(7547)ポートを開くと、知られている脆弱性が悪用された可能性があることがわかります」とBekerman氏は述べています。

以前のMirai攻撃では、インターネットに接続されたWANポート経由でアクセス可能なルータのTR-064インターフェイスを利用していると判断されたルータ脆弱性(CVE-2014-9222)の1つが、Miraiマルウェアの最新バージョンによって悪用されました。 これにより、認証なしのリモート管理が可能になります。 他のルータの脆弱性(CVE-2017-5521)では、デフォルトの資格情報のみが必要でした。

CCTVおよびDVRのハードウェアに見られる欠陥は、デフォルトのLinux telnet資格情報を使用できるようにしました。 マイターの共通の脆弱性および脆弱性の脆弱性識別子は CVE-1999-0502、CVE-2016-6535、CVE-2016-1000245およびCVE-2016-1000246に記載されている。

Impervaは、リストされたこれらのCVEのそれぞれもMiraiマルウェアの以前のバージョンによって悪用されたと語った。

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

スポンサーリンク
スポンサーリンク