2024年上半期のIoTボットの観測状況

はじめに

本記事では,2024 年の上半期(1 〜 6 月)に NICTER で観測された IoT ボットに感染したホストについて,日本国内および韓国の状況を紹介します. なお,2023 年 10 月以降,InfectedSlurs ボットによる Mirai の亜種が活動を活発化させています.この亜種はスキャンパケットに Mirai の特徴を持たないものの依然として脅威となっています.本稿では,分析の便宜上,以下の3種類のホストに分けて取り上げます.

  • Mirai の特徴1を持つスキャンを行うホスト
  • Mirai の特徴を持たず,23/TCP ポートのみをスキャンするホスト
  • 特定のポートセット2をスキャンするホスト

これらのホストを追跡することで,日本国内における IoT ボットの実態をより正確に把握することが可能です.

Mirai 感染ホスト(日本国内)

日本国内におけるMirai感染ホスト1数の推移を図 1 に示します.

/posts/2024-06/mirai_jp.png

図1. Mirai 感染ホスト数の推移(日本国内)

日本国内の Mirai に感染したホスト数は,1 月と 5 月に急増しましたが,これらは IP アドレス変動の影響による見かけ上の増加です.5 月の増加はグローバル IP アドレスが割り当てられるモバイル回線における IP アドレス変動によるものでした.

目立った急増は見られなかったものの,5 月 10 日以降,TP-Link 社製ブロードバンドルータの感染を確認しており,5 月 10 日は,100 ホスト以上の TP-Link 社製ルータを観測しています.

ハニーポットでは TP-Link 社製ルータの脆弱性(CVE-2023-1389)を悪用する攻撃(図 2)を観測していますが,NICTER で観測した感染ホスト(図 3)は当該脆弱性の影響を受ける型番(Archer AX21)とは異なるため,当該脆弱性の悪用ではなく,何らかの別の脆弱性が悪用されて感染していると考えられます.

/posts/2024-06/cve-2023-1389.png

図2. CVE-2023-1389 を悪用したペイロード

/posts/2024-06/tplinkwebui.png

図3. TP-Link 社製ルータと確認した WEBUI

Mirai の特徴を持たず23/TCPのみをスキャンするホスト(日本国内)

日本国内における Mirai の特徴を持たず 23/TCP のみスキャンするホストの推移を図4に示します.

/posts/2024-06/non_mirai_jp.png

図4. Miraiの特徴を持たない 23/TCP のみをスキャンするホストの推移(日本国内,ホスト数)

NICTER観測統計 - 2023年10月~12月」で紹介した通り,2023 年より HITRON 社製 DVR を標的にする Mirai 亜種 InfectedSlurs ボットの活動により,Mirai の特徴が無く 23/TCP ポートのみをスキャンするホストの増加を日本国内で確認しています.

2024 年の 2 月以降は減少傾向にありましたが,5 月 21 日頃から再びホスト数が増加しました.増加の原因を調査する中で,Buffalo 社製ルータの感染増加を確認したため,X(旧 Twitter)で注意喚起3を行いました. 2023 年 11 月時点で InfectedSlurs のダウンロードサーバに置かれていた一連の攻撃ツールの中に Buffalo 社製のルータを感染対象にしていると推測されるファイル名のシェルスクリプト(図 5)が置かれていましたが,2023 年 11 月の段階では同社ルータの感染は観測されておらず,なぜこのタイミングで感染ホストが増加したのかは不明です.

/posts/2024-06/infectedslurs.png

図5. Buffalo 社製ルータを狙ったと思われるシェルスクリプト

特定のポートセットをスキャンするホスト

2024 年 6 月に,2223/TCP,23/TCP,2323/TCP,26/TCP,4719/TCP,60023/TCP のポートセットでスキャンを行うホストを調査したところ,攻撃対象の機器と使用されたゼロデイ攻撃から,NICT にて 2021 年から調査を行ってきた,DVR 製品のゼロデイ脆弱性を利用する攻撃グループの攻撃によるものである可能性が非常に高いため,その情報を報告します. 当該ポートセット2をスキャンするホスト数の推移を図 6 に示します.

/posts/2024-06/dvrs.png

図6. {2223/TCP 23/TCP 2323 /TCP 26/TCP 4719/TCP 60023/TCP} をスキャンするホスト数の推移

感染機器の実態の解明(一部)

本攻撃グループの使用するマルウェアにはスキャン機能がないことが多いため,実際の DVR 製品(Rifatron,CTRing,ITX Security)を使用して攻撃の観測を行ってきました. 6 月 12 日から使用されていた検体4には当該ポートセット2でのスキャン機能が搭載されていたため,NICTER で感染ホストの実態を一部5把握することができました. 6 月 20 日にも実際の DVR 製品に対して,攻撃を観測していますが検体6からはスキャン機能が削除されたことを確認しています. ここでは,NICTER で当該ポートセット2のスキャンを観測したホストのうち,DVR/NVR 製品のメーカー名が特定できたものを紹介します.

  • Rifatron
  • CTRing
  • KGUARD
  • NADATEL
  • Uniview
  • Lilin/iCatch
  • Faraday Technology
  • EverFocus
  • VACRON

IoC

  • ダウンロードサーバとして使用されていたIPアドレス/ドメイン名
    171[.]22[.]136[.]15
    171[.]22[.]136[.]16
    171[.]22[.]136[.]17
    171[.]22[.]136[.]18
    171[.]22[.]136[.]19
    109[.]206[.]243[.]207
    45[.]8[.]146[.]36
    194[.]180[.]48[.]105
    169[.]0[.]202
    80[.]66[.]77[.]235
    45[.]125[.]66[.]102
    158[.]255[.]213[.]225
    91[.]92[.]251[.]250
    141[.]98[.]11[.]189
    179[.]43[.]134[.]167
    94[.]156[.]68[.]206
    95[.]214[.]27[.]202
    vzxv[.]me
    rppr[.]cc
    zyb[.]ac
    qiap[.]cc
    4v[.]wtf

韓国の Mirai 感染機器

ルーターや監視カメラなど,インターネットにつながる様々な種類の IoT 製品がボットに感染し,DDoS 攻撃の踏み台になっています.

日本国内で Mirai への感染が最も多く確認されている IoT 製品は,デジタルビデオレコーダー( DVR )と呼ばれる監視カメラの映像を録画するための装置ですが,NICT でこれまでに感染を確認した DVR 製品の大半は,FocusH&S や Pinetron,CTRing など韓国メーカーの製品でした.これらの韓国製 DVR 製品は日本をはじめ,アメリカやヨーロッパ諸国など様々な国で販売・使用されていますが,本節では,メーカー本国の韓国の感染状況について報告します.

報告対象の観測データは以下の通りです.

  • 観測日時:2024年6月7日06時04分〜14分の10分間
  • 送信元国:韓国
  • 抽出条件:SYN パケットに Mirai の特徴を持つ

この条件に合致する韓国の Mirai 感染ホストは 1235 ホストでした. 同時間帯(2024 年 6 月7 日 05 時 52 分~ 06 時 02 分の 10 分間)の日本の Mirai 感染ホスト数は,710 ホストであり,韓国のホストが多いことが分かります. さらに韓国の感染ホストである 1235 ホストに対して,バナー情報の調査を行い,641 ホストで機器を特定しました. 特定した結果をもとに製品種別ごとに分類した結果を図 7 に示します.

/posts/2024-06/korea_iot2.png

図7. 韓国の Mirai 感染機器の内訳

カメラ/ビデオレコーダー製品の内訳

「カメラ/ビデオレコーダー」に分類した製品のメーカー名とホスト数を表 1 に示します. 日本の感染機器と比較しても特定できた機器に目立った差異はありませんでした. FocusH&S 製の DVR を狙った攻撃については,過去に NICTER Blog で記事7にしているため,詳細はそちらをご覧ください.

表 1. カメラ/ビデオレコーダーと分類したホスト

メーカー名 ホスト数
FocusH&S 160
Rifatron 130
Pinetron 54
VSTARCAM 18
iSeeQ 16
JWC NETWORKS 13
UDP Technology 9
Xiongmai 7

ネットワーク製品の内訳

表 2 に,ネットワーク製品のメーカー名とホスト数を示します.日本国内でも感染が目立つ TP-Link 社製ルータ製品や Ruckus 社製の機器の管理画面を確認していますが, 韓国国内のみで売られていると思われるネットワーク製品も感染していることが明らかになりました.

表2. ネットワーク製品と分類したホスト

メーカー名 ホスト数
TP-Link 40
Ruckus 27
LOOTOM 19
Clipcomm 9
EFM Networks(ipTIME) 6
MultiCubeTec 6

その他:バスの電光掲示板システム

その他の機器の中には,バス停の電光掲示板システム(図 8)と思われるホストが確認できました.

/posts/2024-06/korea_bus.png

図8. 電光掲示板システムと思われる表示

表示される情報をもとに調査したところ,議政府(ウィジョンブ)市のバスの運行状況などを表示しているシステムと酷似8していたことから,KrCERT/CC へ連絡を行いました.

当該ホストでは,SSH や VNC のサービスが有効になっており,同様の構成のバスの電光掲示板システムと思われるホストは複数確認しています. しかし,Mirai の感染が確認できたのは当該ホストのみとなっており,感染経路は不明です.

終わりに

2024 年上半期の観測から,攻撃対象として確認されていた Buffalo 社製ルータが,実際に感染し始めたことが明らかになりました.NICT で分析できた感染ホストのデータを確認すると,マルウェアに感染した IoT 機器は増加傾向にあります. これまで,主に Mirai に関する分析に焦点を当ててきましたが,Mirai の特徴を持たず 23/TCP のみをスキャン IoT 機器の存在が多いことも確認されました.これら Mirai の特徴を持たないスキャンを行う IoT 機器についても,引き続き分析を進めていく予定です.


  1. TCP ヘッダのシーケンス番号と宛先 IP アドレスが同じで,送信元ポート番号が 1024 よりも大きいという特徴を持った TCP SYN パケットを送信しているホスト ↩︎

  2. {2223/TCP 23/TCP 2323 /TCP 26/TCP 4719/TCP 60023/TCP} ↩︎

  3. https://x.com/nicter_jp/status/1795038344012825062 ↩︎

  4. sha256:6bfef8d401644f0ed519bfde1ffab12685894c72a5acec34808426d31057d6b9 ↩︎

  5. 2024 年7月にもスキャン機能が搭載された検体を観測しており,6月の観測ホストは一部であったことが判明している ↩︎

  6. sha256:9cd4ad8933bd3c9ad23d8f0a5bba5c500aef27b1cc142c845c0d957e4692cfff ↩︎

  7. DVR 機器への感染を狙う攻撃の観測 ↩︎

  8. 韓国 議政府市(ウィジョンブ市) バス停の発車案内(LED電光掲示板/接近情報/バスロケ) 의정부시 정류장 버스정보안내단말기(BIT) LED전광판 ↩︎