KadNapは、プロキシ機能を構成するマルウェアです。
2025年からその活動が確認されています。
現在も拡大を続けていて、すでに感染端末数は14000台を超えているとみられます。
KadNapは、どのようなものなのでしょうか。
- ターゲットは小型ルータ
KadNapは家庭のLANで使用されるような小型のルータを標的として展開されます。
標的の多くはAsusのルータとなっているようですが、その他の機種も侵害されています。
ARMプロセッサとMIPSプロセッサの両方を侵害することができる実装状態になっているため、感染可能な対象は多そうです。 - P2Pを使う
KadNapはP2Pネットワークを使います。
P2P(Peer-to-Peer)ネットワークとは、特定のサーバを介さず、参加するコンピュータ端末(ノード/ピア)同士が対等に直接データをやり取りする通信方式です。
負荷集中や障害に強く、ビットコインなどのブロックチェーン技術やファイル共有などで活用されています。
その性質上、通信中のパケットを見るなどしても、もともとの通信元を特定することは容易ではありません。 - C2と必ず通信する、というわけではない
通常よく見られる大規模展開されるマルウェアは、たいていC2と通信して動作します。
次の動作の指示を受けるにしろ、収集した情報を送り出すにしろ、何らかの形でC2と通信します。
しかし、このKadNapで構成された環境は通信にP2Pを使っています。
これにより、通信先は必ずしもC2とはならない、というわけです。
もちろん、感染のおおもとの悪意ある開始点はC2から提供されますが、その後の通信はC2との通信となるかはわからないのです。
これは防御側にとって駆逐しにくい動きといえます。 - KadNapはボットネットを構成する
感染した端末は、ボットネットの一つのノードとなります。
そして、そのボットネットはプロキシサービスとして勝手に提供されます。
匿名性の高いプロキシサービスですよ、ということで宣伝されます。
P2Pによる効能がここでも発揮されることになります。
マルウェアの領域に、国境はありません。
このマルウェアはすでに、米国、台湾、香港、ロシア、英国、オーストラリア、ブラジル、フランス、イタリア、スペインなどで観測されています。
安全性向上のための取り組みということを考える際に、多くの人はまずは普段使用しているスマホなどの小型端末やPCなどを思い浮かべるでしょう。
それらの安全化ももちろん重要です。
しかし、それだけでなく、ルータなどの機器についても安全化が必要です。
デバイスを最新のパッチ状態に保つ、定期的に再起動する、デフォルトのパスワードを変更して使用する、管理インターフェイスを外部に公開しない、製造終了となりサポートされなくなったモデルを交換するなど、実施できることは多くありそうです。
広い視野で安全化した状態を保ち、被害者となることを回避しましょう。
Silence of the hops: The KadNap botnet
https://blog.lumen.com/silence-of-the-hops-the-kadnap-botnet/
| この記事をシェア |
|
|---|
