水曜日, 11月 02, 2016

#OCJP-132: Linux IoTのマルウェア、国内の感染について

■はじめに

Linux IoTマルウェアについて、僕が書いている英語のブログ/MalwareMustDieで最近結構研究しています。色んなマルウェア種類を発見し、そのマルウェアの感染目的は殆どボットネット、DDoS、ハッキング踏み台、スパムのプロキシ、など。

一つの種類は2年前MalwareMustDieのチームで「ShellShock」の時代にはじめて発見しましたELF/DDoSトロイ「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」のマルウェアですね。名前が沢山ありますが同じ物で、「LizardSquad」が作ったマルウェアです。

当時僕がそのGayFgtのマルウェアをリバーシングしながらそのままでVirusTotalにレポートを書きました。その時の調査実績の証拠はこのゼロデイジャパンのブログに残しました。

今はshellshockの脆弱性がはやっているタイミングではなく、IoTマルウェアの感染時期で、進化された「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」種類のマルウェアを沢山発見しています。

■CNC情報と日本の感染について

今日、海外にとある「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」マルウェアのCNCサーバから感染されたIoTの情報を洗い出して、合計は1,944件 (uniq)のIPアドレスがあることを確認しました。


その中に19件は日本国内からのIPで、その7件は国内でのIoTネットワーク機械のIoTです。

19件の中にtelnetdサービスがダウンしているデバイスが多くて、とても良かったです。何台かハニーポットで、その残りの7件は外からのチェックて機械のモデル情報を確認しました。

■どんな種類のIoTかというと

確認の為にIoTのOS/Distro情報が必要ですので、そのデータを狙い、そして様々なOSディストリビューションに確認しました。チェックした結果は「大体」下記のネットワーク機械情報となります↓

Linux OSのmipsとarm cpuのIoTですね。

■結論

1. 海外と比べたら日本国内の感染率が低いですがゼロではありません。
2. telnetdがグローバルIPで運用されたら直ぐに攻撃が来るので、成るべくtelnetdサービスを使わず、若しくはアクセス制限をかけて、運用をして下さい。
3. IoTデバイスがあるネットワークには、内部⇒外部のネットワークトラフィックに不正なトラフィック(DoSなど)があるかどうかをモニターして下さい。

@unixfreaxjp/0day.jp Wed Nov 2 22:23:39 JST 2016

0 件のコメント:

コメントを投稿