ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

BrickerBot mod_plaintext 解析

一週間前、BrickerBot の作者が引退を発表し、彼らのボットのいくつかのソースコードとともに 彼らのマニフェストを公開しました。

マニフェストでは、次のように書いています。「ペイロード、ゼロディ、テクニックの数を見て、現 実を瞬間で理解してください。」

だから私はコードを見て、それらのゼロディを見つけることにしました。

分類

コードはそのままでは実行できませんが、ペイロードとテクニックが示されているため、Mirai や 他のボットネットに統合されている可能性が非常に高いです。もしコードにゼロディがあれば、 大きな感染の波が起こるはずです。

ところが、コードを分析した後、私は 1 つの"実際の"ゼロディしか見つからないことに非常に失 望しました。それは Authenticated Remote Code Execution(RCE、認証後の遠隔コード実行) の脆弱性であるため、デフォルトパスワードを変更しさえすれば重大なものではありません。

このボットは以下の 5 つの攻撃ベクトルから成ります。

  • 「私の ssh クローラーは公開するにはあまりにも危険」と私がコメントしたので、作者が 公開しなかった SSH クローラー
  • Telnet クローラー
  • いくつかのエクスプロイトやデフォルトのパスワードで自動認証されたリクエストを使用 する HTTP モジュール
  • 1 つのエクスプロイトと、デフォルトパスワードによる認証要求を含む HNAP モジュール
  • 3 つの脆弱性を利用する SOAP モジュール

コードの詳細分析

このボットの主な目的はデバイスをレンガ化し使用できなくすることです。「ブリッキング (Bricking:レンガ化)」とは、ハードウェアをもはや使用できないようにデバイスのコードを変更 し、それによってデバイスを本質的にレンガ(Brick)同様に変えてしまうプロセスを言います。

デバイスを単に破壊するボットを作る理由は何でしょうか? 作者によると、安全でないデバイ スはすべて、ハッキングされてボットネットに統合される可能性のあるターゲットです。このプロ ジェクトはその点を説明し、これらの潜在的なターゲットを Mirai などの IoT ボットネットの範囲 から削除することを目的としていました。作者は、このプロセスの不都合な副作用により、デバ イスがその所有者にとって役に立たなくなっているということに気づいていないようです。

作者は、エクスプロイトを使用してシェルアクセスの取得や、リモートコマンドを実行し、デバイ スをレンガ化するという目標を達成しました。アクセスの取得後、ハッキングされたデバイスの パーティションにゴミを書き込み、ファイルシステムを上書きし、デバイスをオペレーティングシ ステムなしのレンガ化するコマンドが実行されます。

Code1

図 1:ファイルシステムを上書きするボットコードの一部

このコードはデバイス固有のものであり、各クローラーが脆弱性のある特定のターゲットをスキ ャンします。既知の脆弱性のあるデバイスごとに、各デバイスのシェルとファイルシステムが異 なるため、彼らは特定のコマンドセットを、デバイスをレンガ化するために書いていました。この ターゲットプロセスは「ノイズ」を減らし、ハニーポットを攻撃しないようにするためのものです。

攻撃ベクトル: Telnet

ssh クローラーコードは公開されていませんが、Telnet クローラーと非常によく似ています。 Telnet クローラーは特定の Telnet バナーを探し、デフォルトクレデンシャル(ユーザー名とパ スワード)でログインしようとします。Telnet クローラーが攻撃するデバイスのリストには、次の デバイスと製造元が含まれていました。

Ingenic devices
3Com Access Points
a5-v11
ADBGlobal
Alcatel OmniSwitch
Artila
Avaya
Aver DVR
Axerra
Bintec-elmeg
Broadcom based products
BusyBox based products
CalAmp Fusion LTE
Cell-technology Janus
Cisco
Comtrend
Dahua DVR
Dasan Networks
DASAN ZHONE SOLUTIONS
Davolink
Digitel NetRouter
D-Link
Elsist
EV ZLX Two-way Speaker
Extremenetworks
Fortigate
Freescale Semiconductor
Hikvision
HiLinux cam
HiSilicon
HooToo TripMate
HP Printers
HUAWEI
Idirect
Integrated Dell Remote Access
Intellisyn Intelliserver
ip-com
itwatchdogs
Juniper Networks
KingType Modem/Router
KYlink SIP
Maipu
Maxon Intelimax
Meritlilin
Microhardcorp Bullet-LTE
Mikrotik
Multiqb
Nateks
Netbox
NetScreen Technologies
Netvanta
Netween CCTV & cameras
Nomadix
OpenWRT
Oxygenbroadband
Phyhome
Polycom
Protei
Q-See DVR
Qtech
Quagga
Ricoh
Robustel
Ruckus
Sagemcom
Samsung Ubigate
Shanghai Telecoms E8
Sixpon
TrendChip Technologies
uClinux
UTTGlobal ReOS
Vigor
VXworks
Welotec
Westermo
Windows CE Telnet Service
Xiongmai DVR
ZTE
ZyXEL

攻撃ベクトル: HTTP

HTTP モジュールには、以前のマニフェストで作者が記述したエクスプロイトとテクニックが含まれています。デバイスをレンガ化できない場合には、工場出荷時のデフォルト設定に戻したり、シャットダウンしたり、デバイスをオフラインにするための設定オプションを変更したりしま す。

これらの攻撃を実行するアクセス権を取得する方法の 1 つは、デフォルトのパスワードを試す ことです。BrickerBot は、次の HTTP デバイスに対してこの手法を使用します。

Observa Telecom Devices
Hikvision
Sifytechnologies Devices
Zyxel p66
Realtron Cameras
Supernet ADSL Modems
PLDThome DSL/Fiber Devices
FosCam
Aztech
Mediatek Devices
Grandstream Devices

Other HTTP devices are attacked with RCE exploits to gain access:

AVTECH 複数の脆弱性
WIFICAM 複数の脆弱性
Dahua バックドア
ZTE ZXDSL 831
EnGenius RCE
CrossWeb DVR RCE
Hanbanggaoke IP カメラ
WIFIC カメラ
D-Link DIR-600 / DIR-300(Rev B) - 複数の脆弱性
D-Link dsl-2750u ISP「バックドア」アカウント
D -Link 850L 複数の脆弱性
Netgear DGN デバイスでの認証されていないコマンド実行
NETGEAR R7000 / R6400 - 'cgi-bin'コマンドインジェクション
Vacron NVR リモートコマンド実行
"JAWS"ブランドなし DVR
Ubiquiti AirOS 6.x - 任意ファイルアップロード
Huawei B593 Authenticated RCE

最後に書かれた Huawei ルーターに対するものが、ゼロディと考えることができる唯一のもの です。この脆弱性は 2013 年にまでさかのぼりますが、Huawei HG532&HG532a モデルルータ ーでこの脆弱性を悪用することは、これまで知られていなかった攻撃方法です。この脆弱性を 悪用するには攻撃者は認証される必要があり、既に見てきたように、デバイスへの認証された アクセスは、しばしばレンガ化のために必要とされるものです。

残念ながら、IoT デバイスでは、既知の脆弱性に対して特定のモデルのみを修正し、他の製品 における同じ脆弱性に対して修正を行わないことがよくあります。私は NETGEAR ルーターの 新しい脆弱性を見つける過程で、この状況に遭遇しました。

攻撃ベクトル: HNAP

HNAP モジュールは、RCE を実現するために D-Linkデバイス用のエクスプロイトを使用しま す。

また、ネットワーク設定を変更して、デフォルトパスワードで認証された要求を使用してデバイ スを使用不能にしようとします。

攻撃ベクトル: SOAP

SOAP モジュールは 3 つのエクスプロイトを使用します。

Eircom D-1000
Huawei CVE-2017-17215
Realtek CVE-2014-8361

実際にはどうだったか?

BrickerBot の作者は、1000 万台のデバイスをレンガ化したと主張していますが、これは誇張 だと思われます。

彼らが攻撃したデバイスの多くは真の意味ではレンガ化できません。作者は、デフォルト設定 に戻してシャットダウンしたり、リブートしたり、設定を変更したりしました。これは真の「レンガ 化」ではなく、DoS 攻撃程度のものです。

これらのデバイスの所有者がそれらを元の状態に戻すと、ボットはおそらく同じターゲットに対 して同じ攻撃を繰り返したのでしょう。そのため、ボットは成功して 1000 万回のヒットを達成し ているものの、その多くは重複しており、実際にはこれほど多くのデバイスをレンガ化していま せんでした。

Shodanを見ると、BrickerBot がかなりの数のデバイス攻撃に成功していることがわかりますが、その数ははるかに少ないものです。

作者が数千台のデバイスにマニフェストを残していることがわかります。

_

また、かなりの Ubiquiti デバイスが成功裏に侵害されていることもわかります。

Shod2

ここから何を学べるか?

このボットのアプローチが、IoT セキュリティに関する認識を高めるということを支持するしない にかかわらず、この問題は現実であり、IoT デバイスの製造元と消費者の両方にとっての取り 組みが必要です。

あなたがインターネットに接続されているデバイスの製造元であるならば、デフォルトのパスワ ードは使用しないでください。バックドアアカウントを残さないでください。root 権限ですべてを 実行しないでください。あなたが販売用に提供する製品のセキュリティについて確信が持てな い場合は、バグバウンティ プログラムを利用することができます。多くのハードウェアメーカー は、この手のプログラムによる開示された支払い額が、デバイスがゼロディに侵害された場合 に想定されるコストよりも下回ることを発見しました。

もしあなたが BrickerBot リストのデバイスの 1 つでもお持ちであれば、デバイスに悪用があっ た場合は最新のファームウェアをインストールし、デフォルトのパスワードはそのままにしない でください。

もう一つの良い、基本的なセキュリティプロセスは、特に必要がない限り、リモート管理を無効 にすることです。リモート管理が必要な場合は、次のことをお勧めします。

より高度なユーザーであれば、VPN や SSH トンネルなどのより安全なチャネルを介してローカ ルネットワークに接続してからデバイスに接続するように設定してください。

上記があまりにも高度であり、作業量が多すぎる場合は、少なくとも強力なパスワードを使用 し、デバイスを最新のパッチが当たった状態に保つようにしてください。また、ランダムなポート でサービスを実行するように設定を変更すると、攻撃者が見つけるのが難しくなります。それ は最善の解決策ではありませんが、役に立つことでしょう。

侵害証跡(IoC)

あなたのデバイスのファイルシステムにおいて次のファイルを探してください

/tmp/system/update/sentinel.reload
/tmp/system/control.cfg