AiTMはAdversary in the Middleの略称で、「中間者攻撃」を意味します。
これまで通常この名称が示す内容は、攻撃者が正規ユーザとWebサイトの間に入り込み、通信を傍受・改ざんすることで、機密情報を盗み出すというようなものです。
特に、多要素認証を突破するために、ユーザの認証情報を巧みに詐取するのが特徴となったものを指す場合が多かったと思います。
PlushDaemonのAiTMは少しこれとは様子の異なる中間者攻撃となっています。
PlushDaemonのAiTMはどんなふうに進むのでしょうか。
- ネットワーク機器に侵入する
始まりはネットワーク機器の侵入です。
ルータなどの機器に、脆弱性をつく、あるいは、既知のデフォルトの管理者認証情報を使用するなどしてアクセス経路を確保します。 - ネットワーク機器に送り込む
操作ができるようになったネットワーク機器には、マルウェアが送り込まれます。
送り込むマルウェアは、EdgeStepperです。
EdgeStepperはGo言語で記述され、GoFrameフレームワークを使って開発されたマルウェアです。
起動されたEdgeStepperは暗号化した状態で持ち込んだ設定ファイルを復号化して動作を開始します。 - DNSクエリを曲げる
通常ルータに届いた環境内から来るDNSのアクセスは、ルータに設定されたDNSサーバに届けられます。
そしてDNSの応答は元のDNSクライアントに返されることになります。
EdgeStepperの動作した状態となってしまったルータではこれが異なります。
ルータに届いたDNSの通信は、脅威アクターの用意したサーバにすべて届けられてしまいます。
リクエストを受信した脅威アクターのDNS機構は、クエリされている内容を確認します。
確認の結果、ソフトウェアの更新を実施する宛先であることがわかると、その解決されるIPアドレスを変更し、脅威アクターの用意したサーバにアクセスが変更されるように動作します。
これにより元のDNSクライアントには、悪意あるソフトウェアが正規のソフトウェアの代わりに届けられてしまいます。
元の組織内のPC(DNSクライアント)上では、人間もコンピュータ機器も、なんら特別な行為は実施していないのですが、脅威アクターによる侵害が成立してしまいました。
これは組織内の人がシステム利用者として注意するだけでは回避できないタイプの脅威です。
蟻の一穴天下の破れ、ちょっとしたことが原因でたいへんなことになる例に思えます。
ルータなどのネットワーク機器のメンテナンスをほんの少しの期間さぼっただけ、初期パスワードのままうっかり運用を開始してしまっただけ、といった事柄を、些細な事だと感じる人もいるかもしれません。
その些細な事が始まりとなって、この例のような侵害が成り立ってしまうこともあります。
個人として頑張るということも重要ですが、全体を見て抜け漏れがないか定期的に棚卸するようなことも重要なのでしょうね。
PlushDaemon compromises network devices for adversary-in-the-middle attacks
https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-network-devices-for-adversary-in-the-middle-attacks/
| この記事をシェア |
|
|---|
