毎年フランスで開催されているボットネットとマルウェアに関する国際コンファレンスbotconf 1が、今年はパリからTGVで2時間ほどかかるアンジェにおいて5月に開催されました。NICTのCSRI解析チームが発表した「Unveiling the DVR Ecosystem A 3-Year Investigation into Global IoT Bot Recruitment Campaigns 」の内容の一部と、RapperBotの最新の動向について紹介します。
狙われるDVR
DVR(Digital Video Recorder)とは、監視カメラを接続して映像を記録するとともに、モバイルデバイスなどからインターネット経由で映像を見たり、制御ができるようにする装置で、以下のような特徴があります。
- ハッキングの容易さ
- 毎日24時間インターネット経由で接続できるようになっている。
- 特に古い機器では、デフォルトのパスワードが脆弱だったり、TelnetやHTTPのポートがデフォルトでオープンになっていることがある。
- 新しいファームウェアが公開されていても、実際にはユーザーがアップデート作業をせずに脆弱なままの機器が多く残っている。
- 脆弱性対策の困難さ
- 市場の傾向として、一部のOEM(Original Equipment Manufacturing)製造メーカーが、世界中の多くのOEM先へ供給している。
- そのため、製品によっては28以上のOEM先ごとに脆弱性対策を行う必要があり、包括的な対策が困難。
DVRへのマルウェア感染を防ぐには、それぞれの機器への脆弱性を突く攻撃内容を知ることが鍵となりますが、攻撃には主に2種類あります。
- ブルートフォースログイン攻撃
- 攻撃者はデフォルトの認証情報などを利用します。RapperBotはMirai亜種ですが、オリジナルのMiraiのソースコードの時点で既にパスワードリストの40%がDVRに関連していることが分かっています。
- ウェブ画面などの管理インタフェースへの攻撃
- 既知のCVE(Common Vulnerabilities and Exposures)2
- ゼロデイ攻撃
攻撃者は、ゼロデイ攻撃などがハニーポットに分析されることを避けるため、攻撃の前に機器の応答をチェックし、正しいバナー応答を返さない限り、攻撃を行いません。そのため、ハニーポットではなく実機で調査する必要があります。ここで問題となるのは、どの製品が攻撃対象なのか?をどうやって知るかです。
- スキャン機能付きのマルウェアの場合、ダークネットを観測するNICTERにより、感染機器の情報が得られる。
- スキャン機能無しのマルウェアの場合、実際に感染したインシデント情報に頼らざるを得ない。
2のケースの例として、2022年に国内の販売業者からNICTに調査協力の相談があり、その調査をきっかけに韓国のOEMメーカーであるITX Security社製DVRの2件のゼロデイを含む4件の脆弱性を発見し、国内向けには修正ファームウェアがリリースされています。
4種類のマルウェアの使い分け
脆弱性攻撃内容を分析するもう1つの方法として、マルウェアの分析があります。CSRI解析チームでは、2022年からITX社やCTRing社製のDVRを狙うRapperBotの調査をしています。この約3年のあいだにさまざまな仕様変更がされていますが、スキャナーの実装タイプによって4種類のマルウェアを使い分けるという一貫した特徴があります。
スキャナーが実装されたタイプのみが対象になりますが、2024年10月~12月のNICTERの観測データの分析によるRapperBot感染数の推移を見ると、Recon(偵察)タイプが最も多く、次にTelnetタイプで、SSHタイプはほとんど見られませんでした。
Reconタイプのスキャナーは、以下のような手順で感染を広げる手段に利用され、マルウェアの分析だけでは脆弱性を突く攻撃内容が分からないような仕組みを構築していると考えられます。
- Reconタイプのスキャナーが、ログイン成功後、機器のタイプを調査する。
- 取得した機器の情報をタイプIDと共にレポートサーバへ送る。
- レポートサーバからLoaderサーバへ機器情報を共有する。
- Loaderが、タイプIDに基づいた特定の脆弱性を突いた攻撃を行い侵入する。
- ダウンロードサーバ経由でマルウェアをインストールする。
1のログイン後の処理の分析により、既知の脆弱性についてはある程度ターゲットの予測が可能ですが、ゼロデイの分析は難しくなります。
XへのDDoS攻撃
C2(Command & Control)サーバからのコマンド監視によりDoS攻撃先を分析していますが、比較的中国への攻撃が多いものの、ゲーミングサーバなどのホスティングサーバや、CDN(Content Delivery Network)など、攻撃先は世界中の多岐にわたります。一定の国や組織を攻撃するというよりは、DDoS as a Serviceのような傾向がありますが、実際にRapperBotと関連するサービスの存在は確認できていません。
今年の3月10日(UTC)にはXへの攻撃を観測しています。C2コマンドに含まれるDoS攻撃時間のプロットと、Cisco ThousandEyesのAvailabilityプロット 3を比較すると、RapperBotのDoS攻撃コマンドの受信時刻とXの障害発生時刻が一致していることが分かります。
攻撃は全て200秒の攻撃時間で指示されており、12時57分付近の攻撃は1回のコマンドによるものです。また、16時33分付近と17時過ぎ付近のAvailabilityが少し回復している箇所では、200秒の攻撃時間が満了する前に、攻撃を強制終了するコマンドが送られています。
最新版の特徴
今年の3月末から4月にかけて、スキャナーなしタイプに比較的大きなマルウェアの更新がありました。スキャナーありタイプの最新版は確認されていません。
メインの更新内容はC2サーバの名前解決の方法で、従来は固定の3つのドメインを使い、OpenNICのtxtレコードにC2サーバリストを記載する方法が取られていましたが、最新版では、パブリックDNSのランダムに見える32個のFQDNを使用しています。また、引き続きtxtレコードにC2サーバリストを記載していますが、txtレコードを暗号化しています。
もう1つのトピックとして、DoS攻撃にHTTPS攻撃が追加されました。3月10日のXへのDDoS攻撃は、すぐにDoS攻撃であることが分かるような単純な通信データでしたが、HTTPS攻撃が追加されたことにより、通常のウェブ閲覧による通信との区別がしづらくなっています。HTTPSでマルウェアが対応できるTLSプロトコルはTLS1.2の暗号スイートTLS_RSA_WITH_AES_128_CBC_SHAの1つに限定しているものの、対応できる署名アルゴリズムのリストを毎回ランダムに変えることにより、JA4のようなフィンガープリントによる検出では簡単に区別できないようにしています。
まとめ
1つのDVRのファームウェアで見つかった脆弱性が、製品によっては28以上のブランドで販売された多くのOEM先製品に影響し、包括的な対応が困難なことや、RapperBotのマルウェアを感染させる戦略を確認しました。
DVRを含めたIoT機器へのボットネット感染を低減するため、NICT CSRI解析チームは引き続きボットネットが狙う脆弱な機器やファームウェアの情報を分析し、販売業者や研究機関と協力して、エンドユーザーへの注意喚起、セキュリティ対策の啓発を進めていきます。
IoC
RapperBot 2025年2月版
| タイプ | SHA256 |
|---|---|
| スキャンなし | 7e536cc15ebac6dbbf8e597dc41a20fac460c892cb5488849ed221a6b352f6a6 |
| Telnet | ae3d740fc5a9fac12d1ef7c9204a0e25574d095a803baa988e093b8f577fb3bc |
| SSH | cc022c57fe74fbb9cc58ea57a4e1debe70fbc5f589b4f2f1987f36989eb4cc85 |
| Recon | d822048a8eb925046edc4e5e72c41d82c56093dd87bb22f49685326d85986769 |
RapperBot 2025年4月版
| タイプ | SHA256 |
|---|---|
| スキャンなし | 200e571bc0a6d2562563022dfcc60ac5ac8c2e40eb73a053be8555349a674a69 |