Dark NexusIoT ボットネット:ネットワーク活動の分析と検出

Dark NexusIoT ボットネット:ネットワーク活動の分析と検出

保護されていないIoT デバイスが大量に存在することは,悪意のある脅威行為者に多くの機会を提供している.これらのデバイスのほとんどはプラグアンドプレイで,いかなる設定も必要としないため,セキュリティは任意となっている.

実際,メーカーが出荷する機器には,一般に知られているデフォルトのパスワードが設定されており,新規ユーザーがコンフィギュレーション・パネルに簡単にアクセスできるようになっている.このようなパスワードが新しい強力なものに置き換えられない場合,攻撃者が最初に使用する侵入経路となる.

多数のIoT デバイスを侵害する攻撃者は通常,ハクティビズムや金銭的利益のためにシステムを使用不能にする目的で,DDoS(分散型サービス拒否)攻撃を引き起こすボットネットを作成する.

Nozomi Networks Labs のセキュリティ研究者チームは,Dark Nexus と名付けられたIoT ボットネットのいくつかの亜種を分析しました.これは,ここ数カ月で注目されるようになった新しいIoT ボットネットで,その機能はBitdefenderの研究者によって徹底的に議論されています.[1]

私たちは,この投稿で説明するネットワーク動作を分析し,IoT ,OT ,ITネットワークの保護に役立つ検出シグネチャを提供しています.

IoT ボットネット・ダークネクサスネットワーク活動の3つのカテゴリー

ダークネクサスのボットは,大きく3つのカテゴリーに分けられる膨大なネットワーク痕跡を残す:

  • C&C(コマンド&コントロール)通信
  • 自己増殖
  • DDoS攻撃

自己増殖攻撃とDDoS攻撃は1つのカテゴリーである可能性もあるが,最終的な目標は大きく異なるため,別々に分析することを好む.私たちのラボでボットを適切に指令するために,私たちは制御された方法でネットワーク活動をトリガーできるように,C&Cサーバーの代わりとなるものを書きました.

ボットは実行中のシステムを注意深く分析し,活動の妨げになりそうな不審なプロセスを停止させるが,最もデリケートな部分は依然としてネットワーク解析コードである.この部分にバグがあると,脅威行為者に壊滅的な結果をもたらす可能性があるからだ.ボットネット自体がDDos攻撃に弱くなったり,別のハッキング・グループに完全に乗っ取られたりする可能性があるからだ.

ダークネクサスの活動を3つのカテゴリーごとに分析した.

C&C通信 最新版ダウンロードの狙い

デバイスが感染すると,IPを取得するためにGETリクエストを実行する:

新しいベクトル

上に示した例では,悪意のあるバイナリの6.6バージョンが,ARM7 CPU上で実行され,argv[1]に "new_vector "を設定して実行された.引数が指定されていない場合は,クエスチョンマークが送信されます.このバイナリは,リバースプロキシとして52750番ポートを,SOCKSプロキシとして50999番ポートをランダムに選択した.

このようなトラフィックを検出するには,セキュリティ関係者なら誰でも,次のSnortルールを使用できる:

<div style="padding: 40px; background-color: #efefef; width: 100%; overflow-wrap: anywhere; font-family: Courier New;" class="code-snippet”>

さらに,バイナリは,最新のコードを確実に実行するために,利用可能なすべてのアーキテクチャ用の新しいバージョンをダウンロードしようとする.

ダーク・ネクサスの第一段階
Dark Nexusの最初の段階では,ボットはC&Cサーバーと通信し,最新バージョンのダウンロードと実行を試みます. Nozomi Networks ラボは,このネットワーク活動を検出するための無料のSnortルールをリリースしました.

Telnet,ポート23,ランダムIPを使った自己増殖

Telnetのブルートフォースは,IoT ボットネットの典型的な伝播方法です.Dark Nexusはget_random_ip関数を使用してランダムなIPを生成し,特定のIP範囲(無効,localhost,特定の企業)を避けるようにしています.この関数は,リークされたMiraiのソースコードに見られるget_random_ip関数と非常によく似ている.[2]

その後,SYNパケットがランダムなIPに送信され,宛先ポートは23となる. telnetサービスがたまたま実行されていて到達可能な場合,保存されている認証情報のリストが使用され,ログインが試みられる.保存されている認証情報のほとんどは,流出したMiraiのソースコードなどの公開ソースから取得されたものだが,作者があるバージョンから別のバージョンへと新しい認証情報を追加している証拠がある.

ブルーチームの視点から見ると,telnetスキャン機能は,シンプルであるがゆえに,厳密にそれを必要としないデバイスの完全なインターネット露出を避ける必要性を強調している.

ダークネクサスは自己増殖する
Dark Nexusは,ランダムなIPアドレスのポート23にTelnet SYNスキャントラフィックを送信することで自己増殖する.
gen_random_IP
dark_nexusのgen_random_ipを逆コンパイルした.
左側がdark_nexusをデコンパイルしたgen_random_ip,右側が流出したMiraiのソースコードのgen_random_ipである.

DDoS攻撃は複数の機能を使い,ネットワークトラフィックを発生させる

私たちが調査したマルウェアのバージョンには,以下の攻撃機能が含まれていた:

  • attack_udp_simple
  • attack_tcp_raw
  • アタック
  • ブラウザ_http_req
  • attack_udpmop
  • attack_udp_plain
  • attack_tcp
  • attack_ovh
ダークネクサスのstart_attackコードを逆コンパイルした例.
ダークネクサスのstart_attackコードを逆コンパイルした例.

C&Cから受信した攻撃コマンドを解析するparse_packet関数を解析した結果,エミュレートしたC&Cから感染ホストに以下のメッセージが送信され,attack_udp_simpleがトリガーされました.

attack_udp_simple関数によって生成されたトラフィックの例.
attack_udp_simple関数によって生成されたトラフィックの例.

attack_http メソッドでは,C&C メッセージの attack_id を変更する必要があった.以下に示すように,HTTPヘッダーはリクエストごとにランダム化された.

Dark Nexus の attack_http ネットワークトラフィックの例
Dark Nexus の attack_http ネットワークトラフィックの例.

IoT デバイスの保護には安全な可視性が必要

IoT デバイスには,限られた処理能力など,監視を困難にする特殊性がある.例えば,リソースを大量に消費するエージェントは,その機能を麻痺させる可能性がある.このような理由から,Dark Nexusのようなボットに感染すると,IoT ,正常に機能させるために,ファームウェアのアップデートが必要になることがある.

ネットワークの安全性を確保し,適切に管理するためには,IoT ,すべてのデバイスを可視化することが第一の要件となる.

IoT の機密資産の可用性を保証する方法で,資産識別を自動化する技術がある.当社の製品 Guardian例えば,パッシブ・ネットワークトラフィック解析を使用して,IoT デバイスを識別し,各デバイスに関する詳細情報を提供します.この製品は当社の Threat Intelligenceダークネクサスのような脅威からIoT およびOT のネットワークを保護するために,当社のサービスと連携しています.

参考文献

  1. Bitdefender.com:新しい dark_nexusIoT ボットネットは他を圧倒する
  2. GitHub.com: jgamblin/Mirai-Source-Code


見つかりませんでした.
見つかりませんでした.
見つかりませんでした.
見つかりませんでした.