LizardStresserのLizardブレイン

matthew

投稿者:Matthew Bing
投稿アーカイブ:未分類

LizardStresserは、悪名高いLizard Squad DDoSグループによって最初に作成されたボットネットです。ソースコードは2015年の初めに一般公開され、意欲的なDDoS攻撃者に自身のボットネット作成を促すことになりました。LizardStresserのアクティビティを追跡してきたArbor NetworksのASERTグループは、以下の気掛かりな2つの傾向を確認しました。

  1. 2016年を通して、独自のLizardStresserのコマンド&コントロール(C2)のサイト数が着実に増加しています。
  2. LizardStresserの背後にいる脅威アクターたちは、デバイス・クラス全体で共有されるデフォルトのパスワードを使用して、モノのインターネット(IoT)デバイスをターゲットとすることに重点を置いています。

これらのIoTデバイスで使用できるようになってきた帯域幅を利用することで、ある脅威アクターのグループは、世界的なゲームサイト、ブラジルの金融機関、ISP、政府機関などをターゲットとする400Gbpsもの大規模な攻撃に成功しています。

LizardStresser

LizardStresserはCで記述され、Linux上で実行されるように設計されたDDoSボットネットです。コードは、クライアントとサーバーという2つの部分から構成されます。クライアントは、侵害されたLinuxマシン上で実行するように設計されており、このマシンはハードコーディングされたC2サーバーに接続されます。プロトコルは、基本的にIRCチャットの軽量版です。感染したクライアントはサーバーに接続し、以下の機能を持つコマンドを受信します。

LizardStresserは、コンパイルや実行が極めて容易です。私たちは、IoTデバイスの最も一般的なプラットフォームであるx86、ARM、MIPSをはじめとして、さまざまなアーキテクチャ向けにコンパイルされた検体を目にしてきました。

傾向

ASERTは、LizardStresser C2が初めてその姿を現して以来、追跡を続けてきました。2016年にはこれまでにないほどC2の数が増加し、6月までに100を超えたことを確認しました。出回っているすべてのLizardStresserの検体がArbor Networksにあるかどうかは分かりませんが、私たちはC2の増加と実際の攻撃との相関関係を独自に明らかにしています。実際の攻撃は、C2のモニタリングとATLAS DDoS攻撃の統計から、LizardStresserのネットワーク上の痕跡およびDDoS遠隔攻撃と一致しています。

lizardstresser_c2s-768x450

図1:2016年における独自のLizardStresser C2の数

IoT

LizardStresserのTelnetへのブルート・フォース型攻撃機能は、ハードコーディングされたユーザー名とパスワードのリストを使用して、ランダムなIPアドレスへのログインを試みます。公開されているLizardStresserのバージョンには、図2に一覧表示されているユーザー名とパスワードがコーディングされています。

char *usernames[] = {"root\0", "\0", "admin\0", "user\0", "login\0", "guest\0"};
char *passwords[] = {"root\0", "\0", "toor\0", "admin\0", "user\0", "guest\0", 
     "login\0", "changeme\0", "1234\0", "12345\0", "123456\0", "default\0", 
     "pass\0", "password\0"};

図2:デフォルトのユーザー名とパスワード

このリストは明らかに最大の弱点を作り出しています。脅威アクターの視点から見れば、このデフォルトのリストの被害を受けるマシンは、おそらくすでに侵害されています。DDoSマルウェアの場合、生成できる攻撃トラフィックの帯域幅がどの程度であるかによって被害が評価されます。マシンがすでに侵害されているのであれば、その帯域幅が使用されている確率が高くなります。脅威アクターは、競合するマルウェアを追い出そうと試みることもできますが、これには時間と労力が必要です。

IoTデバイスについていえば、IoTデバイスは、さまざまな理由から理想的なDDoSボットです。

この最後のポイントであるデバイス・クラス間でのデフォルト・パスワードの再利用は、脅威アクターにとって実に魅力的です。これらのよく知られながらも(少なくとも攻撃者には)あまり使用されていなかったデフォルト・パスワードを使用するようにLizardStresserを再コンパイルするだけで、全く新しい潜在的な被害者グループが開拓されます。

ブラジルおよびゲーム企業への攻撃

ASERTは、同じ脅威アクター・グループによって運用されていると考えられる、2つのLizardStresser C2を追跡してきました。この脅威アクターは互いに英語で会話するようですが、主なターゲットとして、以下に挙げるブラジルおよび世界的なゲームサイトに目が向けられていることが示されました。

一例として、私たちは攻撃コマンドを注視し、LizardStresser C2と豊富な攻撃情報との相関関係を明らかにすることができました。攻撃は、数千のソースアドレスから、400Gbpsを超えるまでに急増しました。攻撃トラフィックそのものは、LizardStresserのランダム・ペイロード生成プログラムによって生成されたもの(大文字のストリング)と正確に一致しています。興味深いのは、攻撃パケットがなりすましを行った形跡がないことです。つまり、トラフィックはパケットのソースアドレスから発信されており、NTPやSNMPなど、UDPベースの拡張プロトコルは使用されませんでした。

lizardstresser_payload-768x186

脅威アクターは、分単位で戦術を素早く進化させ、さまざまなフラグを使用して、HOLDフラッディング、UDPフラッディング、TCPフラッディングへと切り替えを行ったようです。おそらく、そうすることで攻撃が最大の効果を発揮できるようにしたのでしょう。攻撃のUDPベースの部分には、1,400バイトまでのパケット・サイズを使用して、UDP上位ポートから送信先ポートUDP/443に発信するという特徴があります。

攻撃の起点は、ベトナムが圧倒的に多く、次いでブラジルで、最終的な被害者は世界の残りの地域全体に分散しています。固有のソースアドレスを使用して、HTTPの「GET /」をTCPポート80に試行するというパターンが明らかになりました。応答したホストの約90%で、HTMLのタイトルは「NETSurveillance WEB」です。

さらに調査を進めると、NETSurveillance WEBインターフェイスは、インターネットからアクセスできるさまざまなWebカメラによって使用される汎用コードのように思われます。ルート・ユーザーのデフォルト・パスワードがオンラインで使用でき、Telnetがデフォルトで有効化されています。脅威アクターは、LizardStresserのブルート・フォース型攻撃コードをカスタマイズして、NETSurveillanceコードに基づくIoTデバイスの、公開されていても未使用のデフォルト・パスワードを使用するようにしたものと考えられます。

LizardStresserの公開バージョンは、IPアドレスを生成してブルート・フォース型攻撃をランダムに仕掛けますが、特定の地理的地域への攻撃を増やすように脅威アクターがコードを変更した可能性があります。また、もう一つの可能性として、ベトナムとブラジルは、NETSurveillanceコードを実行するIoTデバイスの主要ユーザーであることも挙げられます。

結論

LizardStresserは、脅威アクターが微調整を行うことで極めて容易にTelnetのスキャンを実行できることから、IoTデバイス向けの最新のボットネットになりつつあります。脅威アクターは、IoTデバイスのデフォルト・パスワードを調べるだけで、被害者グループを独占的に彼らのボットネットに組み込むことができます。Arbor Networksは、IoTデバイスに対するLizardStresser C2の攻撃コマンドと、その結果として発生する、反射/増幅を使用せずに400Gbpsを超えるDDoS攻撃(難解な情報に支えられた特筆すべき妙義)を注視しています。