保護されていないIoT デバイスが大量に存在することは,悪意のある脅威行為者に多くの機会を提供している.これらのデバイスのほとんどはプラグアンドプレイで,いかなる設定も必要としないため,セキュリティは任意となっている.
実際,メーカーが出荷する機器には,一般に知られているデフォルトのパスワードが設定されており,新規ユーザーがコンフィギュレーション・パネルに簡単にアクセスできるようになっている.このようなパスワードが新しい強力なものに置き換えられない場合,攻撃者が最初に使用する侵入経路となる.
多数のIoT デバイスを侵害する攻撃者は通常,ハクティビズムや金銭的利益のためにシステムを使用不能にする目的で,DDoS(分散型サービス拒否)攻撃を引き起こすボットネットを作成する.
Nozomi Networks Labs のセキュリティ研究者チームは,Dark Nexus と名付けられたIoT ボットネットのいくつかの亜種を分析しました.これは,ここ数カ月で注目されるようになった新しいIoT ボットネットで,その機能はBitdefenderの研究者によって徹底的に議論されています.[1]
私たちは,この投稿で説明するネットワーク動作を分析し,IoT ,OT ,ITネットワークの保護に役立つ検出シグネチャを提供しています.
IoT ボットネット・ダークネクサスネットワーク活動の3つのカテゴリー
ダークネクサスのボットは,大きく3つのカテゴリーに分けられる膨大なネットワーク痕跡を残す:
- C&C(コマンド&コントロール)通信
- 自己増殖
- DDoS攻撃
自己増殖攻撃とDDoS攻撃は1つのカテゴリーである可能性もあるが,最終的な目標は大きく異なるため,別々に分析することを好む.私たちのラボでボットを適切に指令するために,私たちは制御された方法でネットワーク活動をトリガーできるように,C&Cサーバーの代わりとなるものを書きました.
ボットは実行中のシステムを注意深く分析し,活動の妨げになりそうな不審なプロセスを停止させるが,最もデリケートな部分は依然としてネットワーク解析コードである.この部分にバグがあると,脅威行為者に壊滅的な結果をもたらす可能性があるからだ.ボットネット自体がDDos攻撃に弱くなったり,別のハッキング・グループに完全に乗っ取られたりする可能性があるからだ.
ダークネクサスの活動を3つのカテゴリーごとに分析した.
C&C通信 最新版ダウンロードの狙い
デバイスが感染すると,IPを取得するためにGETリクエストを実行する: