ボットネットは多数存在していることが確認されています。
また新たなボットネットが発見されました。
PumaBotと名づけられました。
- ターゲット
標的となるのはIoTデバイスです。
IoTデバイスに組み込まれたLinuxが対象です。 - 対象の選択
ボットネットの中には、広い範囲のネットワークをスキャンしてボット化するような動きをするものが多くあります。
しかし、PumaBotは違います。
C2から受け取ったIPアドレスのリストを対象として使用します。 - ログイン試行
ボット化の対象のIPに対し、SSHでの接続を試みます。
SSHではパスワード認証を想定した動作を行います。
ログインを試行するパスワードの一覧は対象のIPアドレスと同じようにC2から受け取ったものを使用します。 - ボット機構の複製
パスワード認証でのSSHログインに成功すると、次の段階に進みます。
まずは自分自身であるボット機構の複製を行います。 - 環境の確認
ボット機構の設置が完了すると、環境を確認します。
ハニーポット環境なのか、制限付きシェル環境なのか、そういったボット化に適しない環境であるかを確認します。 - 情報収集
環境チェックを通過したら、情報収集を開始します。
マルウェアは実行され、uname -aを実行し、OS名、カーネルバージョン、アーキテクチャなどの基本的なシステム情報を収集します。
そして、これらのデータは、被害者のIPアドレス、ポート、ユーザー名、パスワードとともに、JSONペイロードに組み立てられ、C2に報告されます。 - 永続化
PumaBotマルウェアには永続化機構が含まれています。
自身を/lib/redisにファイルとして配置し、それを起動するsystemdの設定ファイルを設置します。
systemdの設定ファイルの内容的にも、通常のredisであるかのような記述具合で通常のサービスであるかのような雰囲気を出した内容です。
他にmysqI.serviceを語る場合もあるようです。
これはtypoではないようです。 - SSH鍵の追加
接続手段の設置も行います。
接続先の環境のユーザのauthorized_keysファイルに独自のSSH鍵を追加します。
これでパスワードが変更された場合でも、パスワード無しでSSH接続ができる状態になります。 - お片付け
環境の確認や情報収集の実施の際に作成したファイルはC2への持ち出し後削除されます。
これは、発見される確率を下げようというだったり、解析されないようにすることを狙ったことなのでしょう。 - 仕事の開始
環境は整いました。
目的の仕事を開始します。
仕事は暗号資産のマイニングと横展開です。
マイニングにはxmrigが使われます。
対策には特別な方法は必要ありません。
認証情報は初期状態のまま使用することがないように、個別に設定を実施しましょう。
機器のファームウェアは更新し、最新の状態になるようにしましょう。
用途別にネットワーク環境をセグメント分割し、セグメント間の通信は必要なものしか流れられないようにしましょう。
PumaBot: Novel Botnet Targeting IoT Surveillance Devices
https://www.darktrace.com/blog/pumabot-novel-botnet-targeting-iot-surveillance-devices
| この記事をシェア |
|
|---|
