IoTマルウェア「Mirai」に新たな亜種、Windowsに感染して拡散攻撃

IoT機器をボット化してしまうマルウェアの「Mirai」の新たな亜種は、感染したWindowsマシンを踏み台にして、ボット化できるIoT機器を探索できてしまうという。

[ITmedia]

　トレンドマイクロは2月14日、IoT機器をボット化してサイバー攻撃の踏み台に悪用するマルウェア「Mirai」の新たな亜種を確認したと発表した。Windowsに感染し、ボット化させるIoT機器の探索などができるという。

　同社が発見した「BKDR_MIRAI.A」は、感染先のマシンから攻撃者の設置するコマンド＆コントロールサーバ（C&Cサーバ、C2サーバ）に接続し、スキャンするIPアドレスのリストを受信する。感染先がLinux機器だった場合は、これまでと同様にマルウェアのMiraiを作成して機器をボット化する。Windows機器だった場合は自身のコピーを作成して、新たな感染先となるLinux機器を探索するという。

Windowsを狙うマルウェアによるポートスキャンのコード（出典：トレンドマイクロ）

　BKDR_MIRAI.Aは、初期のMiraiよりも多くのポートが追加され、広範囲に感染先候補の機器を探索できるとしている。同社が確認した探索に使われる主なポートは下記の通り。

• 22（SSH）
• 23（Telnet）
• 135（DCE/RPC）
• 445（Active Directory）
• 1433（MSSQL）
• 3306（MySQL）
• 3389（RDP）

　同社によると、マルウェアは探索先のポートがオープンであるかを確認。MySQLやMicrosoft SQL ServerなどWindowsで使用されるソフトウェアの識別する役割も果たしているとみられる。例えば、感染機器がMicrosoft SQL Server を使用している場合、sysadmin権限を持つデータベースのユーザーとして「Mssqla」を作成する。管理者レベルのアクセス権限を得ることで、サーバ全体の環境設定オプションの変更、サーバのシャットダウン、ログイン情報とプロパティの変更、実行中のプロセス終了、BULK INSERT命令文の実行、データベースの作成・変更・削除・復元が可能になるとしている。

　またBKDR_MIRAI.Aは、感染機器が接続するネットワーク内のIoT機器への侵入にも利用される恐れがあるという。特に、家庭用ルータでは「192.168.x.x」のIPアドレス空間が一般的に使われていることから推測が容易で、攻撃者がこのIPアドレス空間をしてスキャンすれば、家庭内ネットワークの機器を簡単に探索できる。感染候補の機器でデフォルトのパスワードを利用されていれば感染も容易で、ボット化させられてしまう危険性が高い。

　トレンドマイクロは、このマルウェアが機能拡大によって、Mirai以外の別のマルウェアの拡散にも使われる可能性があると指摘している。

「Mirai」はソースコードの公開によって亜種が作られ続けているとみられる