※ 本記事は2018年9月9日に米国で公開された「Multi-exploit IoT/Linux Botnets Mirai and Gafgyt Target Apache Struts, SonicWall」の日本語翻訳です。

 

概要

Unit 42は、よく知られているIoTボットネットMirai、Gafgytの亜種を新たに発見しました。これは、2016年11月以降の前例のないDistributed Denial of Service (DDoS)攻撃に関わりのあるIoTボットネットです。

これらの亜種は、次の2つの理由から注目に値します。

  • 新しいMiraiは、2017年にEquifaxのデータ漏洩を引き起こしたものと同じApache Strutsの脆弱性を標的にしています。
  • 新しいGafgytは、SonicWallのサポート期限が切れた旧バージョンのGlobal Management System (GMS)に作用する、新たに発見された脆弱性を標的にしています。

このような出来事は、古いバージョンを使用する企業向けデバイスを標的にしたIoTボットネットが増えていること示唆しています。

すべての組織は、システムだけでなくIoTデバイスも最新の状態にし、パッチを適用するように努める必要があります。パロアルトネットワークスのお客様については、WidlFireが、悪意があると判断したすべての関連サンプルを検出します。その他の保護については、以下の結論で言及します。

 

調査

2018年9月7日、Unit 42はMirai亜種のサンプルを調べ、16種類の個々の脆弱性を標的とするエクスプロイトが組み込まれていることを発見しました。過去には、Miraiの1つのサンプルに複数のエクスプロイトが使用されていたことがありましたが、これはMiraiがApache Strutsの脆弱性を標的とする初めての事例です。

さらに、Unit 42は8月中に、すでに別のIPアドレスに解決されたこれらのMiraiサンプルをホストしているドメインを見つけました。その間、このIPは、旧バージョンのSonicWall Global Management System (GMS)に作用するSonicWallの脆弱性(CVE-2018-9866)を狙ってエクスプロイトを組み込んだGafgytのサンプルを断続的にホストしていました。この出来事は、SonciWallにすでに通知されています。

これらのIoT/LinuxボットネットによるApache StrutsおよびSonicWallを標的としたエクスプロイトの組み込みは、標的が家庭向けデバイスから企業向けデバイスへと大きく移行していることを示唆している可能性があります。

 

複数のエクスプロイトが組み込まれたMirai亜種のApache Strutsエクスプロイト

今回発見した新しい亜種に組み込まれているApache Strutsを標的とするエクスプロイトは、巧みに作られたContent-Type、Content-Disposition、またはContent-Length HTTPヘッダーを使用して、任意コマンド実行の脆弱性(CVE-2017-5638)を攻撃します。図1にその形式を示します。ペイロードは強調表示されています。

図1 CVE-2017-5638エクスプロイトの形式

図1 CVE-2017-5638エクスプロイトの形式

 

このMirai亜種に組み込まれた他の15種類のエクスプロイトについては、以下の付録の表2で詳しく説明します。

これらのサンプルはMiraiの亜種ですが、Miraiが通常使用する総当たり攻撃機能を備えておらず、C2としてl[.]ocalhost[.]host:47883を使用し、Miraiと同じ暗号スキームでキー0xdeadf00dを使用します。

 

Gafgyt亜種のSonicWall GMSエクスプロイト

 

2016年11月まで過去に遡ると、上記のMirai亜種でC2として機能しペイロードを提供するドメインl[.]ocalhost[.]hostが、他のMiraiアクティビティにも関与していたことがわかりました。

2018年8月のある時期に、同じドメインが別のIPアドレス185[.]10[.]68[.]127に解決されました。その時、私たちは、そのIPが最近発見されたSonicWallの脆弱性(CVE-2018-9866)を狙うエクスプロイトが組み込まれた、Gafgytのサンプルをホストしていることを発見しました。この脆弱性は、現在サポートされているバージョンに含まれない古いサポート対象外のSonicWall Global Management System (GMS) (8.1以前)に影響します。

このエクスプロイトが標的とする脆弱性CVE-2018-9866は、set_time_configメソッドに対するXML-RPCリクエストがサニタライズされていないために生じます。図2に、サンプルで使用されたエクスプロイトを示します。ペイロードは強調表示されています。

図2 SonicWallのset_time_config RCEの形式

図2 SonicWallのset_time_config RCEの形式

 

これらのサンプルが初めて明らかになったのは8月5日で、この脆弱性に対応するMetasploitモジュールが公開されてから一週間も経っていないときでした。2018年7月17日に公開されたこの件に関するSonicWallの公式な報告は、ここで確認できます。

私たちが発見したサンプルは、MiraiではなくGafgytのコードベースを使用して構築されています。以下の表で、使用されているコマンドの一部を説明します。

表1 亜種がSonicWallエクスプロイトで使用するコマンドの一部

コマンド

説明

!* SCANNER <HUAWEI/GPON/DLINK/SONICWALL/OFF>

ボットは、渡された引数に基づいて、デバイスへの関連するエクスプロイトの送信を開始します。

  • HUAWEI: CVE-2017-17215を送信します(以前のキャンペーンを参照)
  • GPON: 上記と同じ
  • DLINK: D-Link DSL 2750B OSコマンド インジェクションを送信します(表2を参照)
  • SONICWALL: 図2のエクスプロイトを送信します
  • OFF: ボットに関連するプロセスの実行を強制終了します

!* BIN_UPDATE <HTTP SERVER> <FILE LOCATION>

<HTTP_SERVER>から更新を取得し、それを<FILE_LOCATION>に保存してインストールします

!* BN <IP> <PORT> <TIME>

<TIME>秒の間、<IP>:<PORT>に対するBlacknurse DDoS攻撃を開始します

Blacknurseは、CPUを高負荷にする、ICMPタイプ3コード3のパケットを伴う低帯域幅DDoS攻撃で、2016年11月に初めて発見されました。このDDoS手法を使用するサンプルを初めて見たのは、2017年9月のことです。

 

結論

これらのIoT/LinuxボットネットによるApache StrutsおよびSonicWallを標的としたエクスプロイトの組み込みは、標的が家庭向けデバイスから企業向けデバイスへと大きく移行していることを示唆している可能性があります。

パロアルトネットワークスのAutoFocusを使用しているお客様は、エクスプロイトの個々のタグを使用してこれらのアクティビティを追跡できます。

AutoFocusのお客様は、以下のマルウェア ファミリのタグも使用できます。

WildFireは、すべての関連サンプルを悪意があるものとして検出します。

 

以下に、Apache Strutsを攻撃するMirai亜種で標的とされる他の脆弱性を示します。

表2 同じサンプルで使用された他のエクスプロイト

脆弱性

影響を受けるデバイス

エクスプロイトの形式

CVE-2017-5638

Apache Strutsのパッチ未適用のデバイス

 

Linksys RCE

Linksys Eシリーズ デバイス

Linksys RCE 脆弱性 Linksys Eシリーズ デバイス エクスプロイトコード1

サンプルには、以下を対象とする、GETおよびPOSTリクエストを使用したエクスプロイトの他のバージョンが含まれています。

Linksys RCE 脆弱性 Linksys Eシリーズ デバイス エクスプロイトコード2

Vacron NVR RCE

Vacron NVR デバイス

以前のキャンペーンと同様

この亜種には、同じエクスプロイトのPOSTリクエスト版も含まれています。

Vacron NVR RCE Vacron NVR デバイス エクスプロイトコード

D-Link command.php RCE

一部のD-Linkデバイス

D-Link command.php RCE 一部のD-Linkデバイス エクスプロイトコード

CCTV/DVR RCE

CCTV/DVR 70以上のベンダーからのRCE CCTV、DVR

以前のキャンペーンと同様

EnGenius RCE

EnGenius EnShare IoT Gigabit Cloud Service 1.4.11

EnGenius RCE EnGenius EnShare IoT Gigabit Cloud Service 1.4.11 エクスプロイトコード

AVTECH 認証されていないコマンド インジェクション

AVTECH IP Camera/NVR/DVR デバイス

AVTECH  認証されていないコマンド インジェクション  AVTECH IP Camera/NVR/DVR デバイス エクスプロイトコード

CVE-2017-6884

Zyxelルーター CVE-2017-6884  Zyxel ルーター エクスプロイトコード

NetGain ‘ping’コマンド インジェクション

NetGain Enterprise Manager 7.2.562

NetGain ‘ping’コマンド インジェクション NetGain Enterprise Manager 7.2.562 エクスプロイトコード

NUUO OS コマンド インジェクション

NUUO NVRmini 2 3.0.8

NUUO OS コマンド インジェクション NUUO NVRmini 2 3.0.8 エクスプロイトコード

NUUOS OS コマンド インジェクション

NUUO NVRmini 2 3.0.8

NUUO OS コマンド インジェクション NUUO NVRmini 2 3.0.8 エクスプロイトコード

Netgear setup.cgi unauthenticated RCE

DGN1000 Netgear ルーター

以前のキャンペーンと同様

HNAP SoapAction-Headerコマンド実行

D-Linkデバイス

以前のキャンペーンと同様

この亜種は、上記リンクのキャンペーンで使用された不完全なものとは違い、有効なバージョンのエクスプロイトを使用します。例えば、SOAPActionをターゲットにします。 http://purenetworks[.]com/HNAP1/GetDeviceSettings/

D-Link OSコマンド インジェクション

D-Link DSL-2750B

以前のキャンペーンと同様

JAWS Webサーバー認証シェル コマンドの実行

MVPower DVRなど

以前のキャンペーンと同様

CVE-2018-10561, CVE-2018-10562

Dasan GPON

ルーター

以前のキャンペーンと同様

この亜種には、同じエクスプロイトのPOSTリクエスト版も含まれています。

IOC

Apache StrutsエクスプロイトCVE-2017-5638を使用したサンプル

 

d6648a36f55d6b8ffd034df7d04156d31411719ce9bc28e6d30c8427feacb397

710d56a90b5f61c7ae82fcf305d23d48476e4f237ffff9d68b961171f168f255

52274c46933c20aaf64fd4c11557143fcfdc76eef192743fafd1b3a8bed3f4d2

078eef70d754e9b64bc783f085846a2e8ae419653a79ed2386c4ade86fde68cb

ef090093496ccdab506848166a07554bfa74eb98a0546171b84fc73861f67c79

49cdb537f5e4081362545532a623f597212c8cea847cf9f2b2f1fe1f3cd0ec2f

99c22a0c0e252ab123fb3167f49d94dc12960b79565ca6dfd28f2ff5b0346348

ae2354a5d8b84fb6ea6fc4b9ca3060959d5c0c77684cd2100731df2a3c7a204e

1913cf8e65114136cc309e72c384b717f0aeaaeae0c040188648c4afebce1669

 

Sonicwall GMSエクスプロイトCVE-2018-9866を使用したサンプル

 

1814c010f5e7391c7ea38850f9caf0771866e315f8d0c58c563818e71d30c208

29540468514cd48b6c2571722018dffb49d12f99c95b248a44a1455fff01acfb

39891a1c13e4e6ec9de410201f697d23c05e83a29ec0010c6c62c6829386e6a6

596270e91ccee3ec04a552bafde586af127ecac7141852edb9707ac6c4779a99

68b27935c7d064478339f7d95b57ff06ffa1efbd81009b4a2870c5cf3e0b0b35

92a4c6ae034c3a03c21b74bdc00264192e60a85deedd90b99a3e350758eb85c1

aab0ec600cdf57f28f9480ff3a9d3547f699af005c015b74c5c9e39a992570b6

d8fbf6d68993045b4840729c788665ab10c50c42b27246a290031664f3b956eb

dafe1b513183902692c8ba8b2a95fede7c13937e49bf21294de448df05edff18

f89d742c4d3312ac9bd707a9135235482c554e369cb646dcd97f6a14b4210136

fab034d705b3ad7a10101858daf5da93a88f8bfd509dee9b8072678b27290ed3

 

インフラストラクチャ

l[.]ocalhost[.]host

185[.]10[.]68[.]213

185[.]10[.]68[.]127


 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  
  • 5
  • 17303

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 11486

PA-3200 Series スペックシート

パロアルトネットワークス® PA-3200 Series の次世代ファイアウォールは、PA-3260、PA-3250、およびPA-3220 で構成されています。これらのモデルはすべて高速の インターネット ゲートウェイでの導入を目的としたものです。PA-3200 Seriesはネットワーキング、セキュリティ、脅威防御および管理のための専用処理およびメモリ を使用して、暗号化トラフィックを含むすべてのトラフィックを保護します。
  • 0
  • 3964

PA-3000 Series スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。
  • 1
  • 9227

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 5927