Miraiボットネットの概要: 脅威の概要、分析および対策

[post-views]
12月 01, 2016 · 9 分で読めます
Miraiボットネットの概要: 脅威の概要、分析および対策

有名な教授の引用「良いニュースがあります!」が最近の出来事に最も適しているかもしれません。その時、 モノの 為に インターネット がデジタル世界全体で地獄を解き放ち、Miraiボットネットがその悪名高き手下の一つとなっています。壊れた皮肉探知機の前に状況は確かに緊張しており、セキュリティ分野の著名な研究者たちは、今やミッドナイト(午前0時)2分前であると信じています。 午前0時になります。それにもかかわらず、セキュリティ分野の友人と私たちのセキュリティチームが持つ鑑識およびインシデント検出の背景に基づいて示した事実、分析、結論を迅速に共有しながら、皆さんの時間を少しでも節約しようとします。

タイムライン: 8月に遡ると、FlashpointとLevel 3 Threat Research Labsは実際に モノの攻撃が起こることを予測していました。 そしてそれは時間の問題に過ぎません。10月には、 Miraiのソースコード が公開されました。これまでにMiraiに関連付けられた確認された攻撃には、 リベリア全土のインターネットアクセスを中断しようとする試み, a Brian Krebsに対する620+ GB DDoS, 米国大統領選挙中のDDoS, Dyn攻撃 があり、これによってインターネットの大規模な遮断が引き起こされ、今ではDeutsche Telekomの900K+ルーターに関するインシデントがあります

攻撃のベクターは進化しており、 DDoSボットネットも進化しています とMalwareTechによるMiraiのケーススタディで述べられています。2016年はほぼ終わりを迎えていますが、私たちの手元にはクリアテキストプロトコルを使用するデバイスが多数あります(かつてないほど?)、したがって初期の侵害は漏洩したハードコーディングされた認証情報を伴った分散telnetポートスキャンから始まりました。これは後にSSHスキャンに進化し、もちろん他のブルートフォース技術も追加されました。Miraiボットネットの活動が続いているということは、それが運用中のビジネスであることを意味し、誰かが資本を得て次のより高度な技術に投資できることを示しています。明るい例は独立したセキュリティ研究者 ケンゾ のブログで共有された概念実証的なエクスプロイトです。 BadCyberによって攻撃とエクスプロイトに関する詳細がさらに明かされました。このようなエクスプロイトの根本原因は、IoTメーカーによって使用される「最良の」プラクティス、例えば ハードコーディングされたパスワード やその他のクールな機能であり、誰もが知っているように、すでに出ているすべてのIoTデバイスを修正するのがどれほど「簡単」であるかということです。ケンゾの投稿から1か月以内に、Deutsche Telekomルーターに対する攻撃が見られ、エクスプロイトを利用しています(モデムベンダーとエクスプロイトは異なりますが、技術と目的は同じである可能性があります)。11月28日の攻撃の日に関するいくつかの引用:th 11月28日の

「Miraiボットネット攻撃がドイツで表面化し、昨夜と今日Telekomから90万以上のルーターが攻撃され、今回の場合はBusybox linuxタイプのIoT/デバイスであると疑っています」

HakDefNet、2016年11月28日

「ドイツテレコムルーターを大量に悪用しているボットネットは、リベリアISP DDoSの責任者であったものと同じです。」

MalwareTech 2016年11月28日

MalwareTechに関すると、Mirai接続のライブマップが利用可能です:mirai_digest_3MalwareTechのライブトラッカーによって提供されたデータの迅速なOSINT分析により、GEOタグ付けや時間ウィンドウフィルタリングを行うと、問題がグローバルであることが再確認されます。93K+のアクティブ(侵害された)デバイスがあります。mirai_digest_1IPを毎日集計すると、現在のところボットネット全体のサイズは減少していますが、新たな攻撃方法が次々と出現しているため、物語はまだ終わっていないかもしれません。「新しい」IPの量は信頼しにくいとされており、ダイナミックアドレススペース(家庭用IoTデバイスで最も一般的)が考慮される必要があります。mirai_digest_211月24日th 私たちはMirai検出用のETC(Emergency Threat Counter) SIEMユースケースをArcSight、QRadarおよびSplunk用に発表しました。これは、HakDefNetでの友人から提供された無料の脅威インテリジェンスサンプルに基づいています。私たちは常に仲間と接触し、すでにMiraiの一部として発見されたか、または将来の攻撃で使用される可能性のある1M+のIPを報告しています。 for ArcSight, QRadar and Splunk, based on a free threat intelligence sample provided by our friends at HakDefNet. We are constantly in touch with our colleagues, they report an overall 1M+ IP’s that are either already spotted as a part of Mirai or are exploitable (compromised?) and can be used in future attacks.

検出と対応に関する助言

SOCユースケース。クリアテキストプロトコルの使用、ポートごとのトラフィックスパイク、ポートスキャンの検出、およびすべてのテクノロジースタックにわたるブルートフォース検出の監視を強くお勧めします。電気通信とISPのための緩和策。組織が管理する侵害されたデバイスにパッチを当ててください。管理ポートへのリモートアクセスのためのACLを実装し(管理者のIPからのアクセスのみを許可)、その際に管理者ワークステーションのセキュリティを確認してください(最後にペンテストやセキュリティ監査を受けたのはいつですか?予定外のテストを行いましょう)。そしてキャプテン・オブビアスからのアドバイス:パスワードを変えましょう!どの組織も。企業ネットワークがMiraiに感染したデバイスを持っているかどうか確認してください。使用できます Mirai検出用のETChttps://ucl.socprime.comで利用可能です。あるいは、ポート7547で自分のネットワークでポートスキャンを実行して、侵害されたデバイスを探すことができます。さらに、侵害された資産を見つけるもう一つの方法は、Shodanエンジンを活用することです。 無しで 登録あり (例はアイルランドのインターネットから到達可能なポート7547を持つIP検索)。セキュリティ意識。今こそ Layer3によるIoTを保護する8つのベストプラクティスをチェックするのにこれ以上良い時期はありません。エンドカスタマーに脅威を通知し、上記リンクを含めてください。セキュリティ意識が高く注意深い技術ユーザーは、自分でIoTデバイスを保護することができます(ファームウェアの更新、ポートとサービスの閉鎖)。これは非常に簡単で低コストなソリューションで、任意のメールキャンペーン自動化プラットフォームを使用して実行できます。

/安全でいてください

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事