IoTを狙うMiraiボットネットとDDoS攻撃の緩和

person_shape

投稿者:Roland Dobbins、Steinthor Bjarnason
投稿アーカイブ:Botnets

モノのインターネット(IoT)のデバイスに感染してボットネットとなるMiraiは、2016年8月の出現以来、複数の攻撃者に利用され、さまざまなインターネットの資産やサービスに対して派手で大規模なDDoS攻撃が繰り返されています。この攻撃は主に、デジタル・ビデオ・レコーダーや監視カメラなど、インターネットに接続可能なデバイスを標的としています。Miraiは、DDoS攻撃請負業者の「Booter」サービスまたは「Stresser」サービスの基盤となり、ビットコインなどのかたちで金銭を授受することによって、攻撃者が選択した標的にDDoS攻撃を行うのを可能にしています。本稿作成時点でも、原種のMiraiボットネットは利用され続けており、複数の脅威アクターが、ボットネットのオリジナルコードの攻撃能力をカスタマイズして向上させていることが確認されています。また、MiraiをベースにしてDDoS攻撃を仕掛けるボットネットがさらに実環境に出回っていることも分かりました。

現在、世界中で約50万台のIoTデバイスが原種のMiraiボットネット(以下、特に明記のない限り「Miraiボットネット」または「Mirai」)に感染しています。Miraiのノードは、中国、香港、マカオ、ベトナム、台湾、韓国、タイ、インドネシア、ブラジル、スペインに比較的高く集中しています。他には、北米、欧州、オセアニアにも集中していることが確認されています。

Miraiは、複数の種類のDDoS攻撃を仕掛ける能力を有しています。例として、SYNフラッディング攻撃、UDPフラッディング攻撃、バルブ・ソース・エンジン(VSE)クエリー・フラッディング攻撃、GREフラッディング攻撃、ACKフラッディング攻撃(Intelligent DDoS Mitigation System(IDMS)を停止させることを目的とする亜種など)、偽ランダムDNSラベル・プリペンド攻撃(別称DNS「水責め」攻撃)、HTTP GET攻撃、HTTP POST攻撃、HTTP HEAD攻撃などが挙げられます。これまでに確認されている、Miraiが引き起こすDDoS攻撃能力は、新しいものでも独特なものでもありませんが、DDoS攻撃を柔軟に発生させるシステムで、有能な攻撃者の手にかかると大量かつ重大なDDoS攻撃を仕掛けることが可能になります。Miraiはコマンド&コントロールが分割されているため、複数の関連性のない標的に対して同時にDDoS攻撃を仕掛けることができます。

脆弱性のあるIoTデバイスは、関連しているIoTデバイスに存在するハードコードされた既知の管理認証資格情報の連続的自動スキャンで攻撃され、Miraiボットネットに組み込まれます。このような脆弱なシステムは通常、インバウンドのTelnetアクセスによってTCP/23やTCP/2323で待ち受けしています。さらに、IPv4アドレス空間全体にわたって脆弱なノードが連続スキャンされることを前提とすると、脆弱なIoTデバイスが感染する平均時間は10分以下となります。つまり、感染したデバイスの電源を切っても、デバイスを再起動しても、TCP/23、TCP/2323、デバイスへのアクセスを遮断する措置を事前に講じない限り、ほぼ確実に短時間で再感染します。

IoTデバイスがMiraiボットネットに組み込まれると、他の脆弱なデバイスへの不正アクセスのために直ちにスキャンを開始します。このスキャンは、宛先ポートであるTCP/23とTCP/2323に対して行われます。

先ほども述べたように、脅威アクターの複数のグループが、Miraiの亜種ボットネットによるDDoS攻撃能力の強化と向上に積極的に取り組んでいます。Miraiから派生したボットネットの少なくとも1つによるDDoS攻撃能力が修正されたものが実環境に出回っていることが確認されています。

副次的な影響: MiraiボットネットによるDDoS攻撃の副次的な影響の可能性は、標的の選択と任意の攻撃の有効性によって甚大になり得ます。

MiraiボットによるアウトバウンドまたはクロスバウンドのDDoS攻撃は、ネットワーク・パフォーマンスの重大な問題やブロードバンドアクセスのネットワーク事業者に対する機能停止をもたらす可能性があります。

脅威アクターは、脆弱なシステムのスキャン速度を大幅に増大させる可能性があり、スキャンされたか、またはスキャンしている、システムとネットワークに対して、想定外のDDoS攻撃を引き起こす可能性があります。

攻撃要因の軽減: これまでに確認されているMiraiのDDoS攻撃能力は既知のものであるため、業界標準のベスト・カレント・プラクティス(BCP)を実施し、かつArbor SP/TMSやAPSなどのIntelligent DDoS Mitigation System(IDMS)を利用して攻撃から標的を守ることによって緩和が可能です。

ネットワーク事業者は、自社のネットワーク上や顧客のネットワーク上の脆弱なIoTデバイスと感染したIoTデバイスの両方を能動的にスキャンしてから、それらのデバイスを隔離する手段を取り、所有者に問題を知らせて、是正措置を講じるよう促すことができます(かつ推奨されます)。

ネットワーク事業者は、感染の可能性が高いIoTデバイスを特定するために、それらのデバイスが接続しているアウトバウンドまたはクロスバウンドのTCP/23やTCP/2323のアクティビティを検出して分類し、それらのデバイスを隔離する手段を取り、所有者に問題を知らせて、是正措置を講じるよう促すことができます(かつ推奨されます)。

ブロードバンドアクセスのネットワーク事業者は、脆弱なIoTデバイスのスキャンを阻止するために、状況に応じてネットワークトポロジの適切なポイントでアクセス制御リスト(ACL)を導入し、顧客のアクセス・ネットワーク上のTCP/23、TCP/2323に向かうTCPトラフィックを禁止することが可能です。このようなポリシーは通常、ブロードバンド顧客のアグリゲーション・ゲートウェイのコア方向のインターフェースのインバウンドACLとして実行されます。事業者は、この類のネットワーク・アクセス・ポリシーの実行から得られるメリットに対し、マイナスの影響がある場合はその可能性を評価し、スキャン対策のACLを導入する前に十分なテストを行うべきです。

推奨される対策:ネットワーク事業者によって、すべての関連するネットワーク・インフラ、ホスト/アプリケーション/サービス、DNSのベスト・カレント・プラクティス(BCP)が、public-facingのネットワーク・インフラやインターネット資産を利用して実施されるべきです。

ネットワーク事業者は、フローテレメトリ(NetFlow、IPFIX、s/Flow、cflowd/jflow、Netstreamなど)を、ピアリング/トランジット/顧客のアグリゲーション・エッジやインターネットデータセンター(IDC)のディストリビューション・エッジから、異常検知/トラフィック可視化システムであるArbor SPにエクスポートするべきです。Arbor SPは、DDoS攻撃のトラフィックを検知して分類し、トレースバックする機能があります。

ネットワーク事業者は、Source-based Remotely-triggered Blackhole(S/RTBH)などのDDoS攻撃緩和メカニズムや、flowspecのほか、Arbor TMSやAPSなどのIntelligent DDoS Mitigation System(IDMS)を活用して、MiraiをベースとするボットネットからのDDoS攻撃のトラフィックを緩和するべきです。

利用可能なArborソリューション: Arbor APS, Arbor SP, Arbor TMS.

参考資料

http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/

https://www.arbornetworks.com/blog/asert/rio-olympics-take-gold-540gbsec-sustained-ddos-attacks/

https://krebsonsecurity.com/2016/09/the-democratization-of-censorship/

https://www.arbornetworks.com/network-visibility-product/arbor-networks-sp

https://www.arbornetworks.com/ddos-protection-products/arbor-tms

https://www.arbornetworks.com/ddos-protection-products/arbor-aps

https://tools.ietf.org/html/rfc5635

https://tools.ietf.org/html/rfc5575