ARCを狙うSatori

ASERT team on January 18, 2018
Pete Arzamendi, Matt Bing, and Kirk Soluk 著

Satoriは、悪名高きIoTマルウェアであるMiraiの亜種として、2017年12月に発見されました。“satori”は、日本語の「悟り」という言葉から名付けられましたが、その進化は全くはっきりしません。どの新しいバージョンも、標的にするプラットフォームや増殖のテクニック、攻撃のタイプによる新たな組み合わせを提示してきます。機能が徐々に追加されていく従来のソフトウェアと比較すると、前進しているようにも後退しているようにも見えます。この進化し続ける脅威に対する本質を見抜くために、その歴史を紐解いてみます。

IoTマルウェアの短い歴史

はじめてIoTセキュリティーの関心を呼ぶ大規模DDoS攻撃が注目を集めたのは、2016年の暮れのことです。その中心的なマルウェアがMiraiであり、主な脅威のようにWindowsマシンを標的にしたものではなく、IoTデバイスや組み込みシステムの脆弱性を狙ったものでした。これらのデバイスは大量のDDoSゾンビを生み出しました。リソースを絞った組み込み用Linuxが稼働するデバイスが多かったため、これらのデバイスはインターネットに接続されているにもかかわらず、セキュリティー機能が限定的でした。

Miraiとその亜種の多くは似た原理で動作

Miraiの作者は結局、ソースコードを公開しました。コンパイラーの使い方を知っている人なら誰でも、自分自身のコマンド&コントロールサーバーを準備し、すぐにMiraiボットネットを作ることができます。もっと多くの技術的なノウハウを持つ人なら、新しい増殖方法やコマンド&コントロールプロトコル、新しい攻撃タイプといった機能を追加することができます。

Satori

Satoriは2017年12月に発見され、Satoriの別バージョンも確認されています。Satoriが発見された時の最初のバージョンは、IoTデバイスにおける2つの脆弱性を狙って増殖するので、Miraiと区別することができました。具体的には、ファーウェイのホームゲートウェイにおけるゼロデイ攻撃と、RealtekのUPNP SOAPインターフェースにおけるコマンド実行の有名な脆弱性を標的にしたものです。はっきり特定できる2種類のデバイスがターゲットで、より不可知なMiraiとは違います。デフォルトのユーザー名/パスワードまたは簡単に推測できるユーザー名/パスワードを使ってデバイスに感染します。公開されたMiraiコードのいくつかをSatoriが再利用したという形跡はありますが、リサーチャーが注目したのはその正確な標的の絞り込みでした。
さらに混乱させるためだと思われますが、確かにSatoriの他のバージョンはtelnetを使って増殖する一方、ユーザー名とパスワードのより洗練されたリストを使っています。

SatoriなどのIoTマルウェアは、コンパイル済みのすぐに動作するフォーマットで標的に届けられます。つまり、標的のアーキテクチャーに合わせてコンパイルされた実行可能なLinuxです。例えば、ARMデバイスではx86プロセッサー用にコンパイルされた環境は実行できません。SatoriもMiraiもペイロードを送る前に、どのコンパイル済みのMiraiバイナリーをダウンロードして実行するかどうか標的に迫ります。Satoriは、SuperHやARCといった新しいアーキテクチャーを取り入れ、より高度化されました。Satoriの背後にいるアクターが、脆弱性のある場所を知っているから活動するのか、ただそうしたかっただけなのかははっきりしません。
下の図は最新の3つのSatoriの亜種に関する類似点と相違点を表しています。アーバーネットワークスのサイバーセキュリティー調査チームであるASERTがまとめたものです。その他の脅威の痕跡(IoC: Indicators of Compromise)などの補足情報は、参考資料の[1]~[5]をご参照ください。Variant 1は[1]で述べられている機能を持っていないため含まれていません。

我々はSatoriの4つ目の亜種を確認しました。ARCを狙ったマルウェアの最初の事例の一つと考えられます。ARCのチップセットで動作するようになったことで、ボットネットの潜在的な数が大幅に増加します。2014年に掲載された参考情報[6]の記事では、「ARCプロセッサーIPコアは190社以上にライセンスされ、年間15億を超える製品で使われている」と報告されています。この新しい分野が切り拓かれた今、他のマルウェア作成者もARCのアーキテクチャーを狙ってくるでしょう。

DDoSミティゲーション

Satoriの亜種は全て、MiraiのDDoS攻撃コードベースの異なるサブセットを利用するので、MiraiをベースとしたDDoSミティゲーション(攻撃緩和)に関する長年にわたるアドバイスが適用できます。例えば、「IoTを狙うMiraiボットネットとDDoS攻撃の緩和」というタイトルのASERTのブログを読んでみてください(参考情報[7])。また、アーバーネットワークスの顧客は、我々の営業チームやArbor Technical Assistance Center (ATAC) を通じて、ASERTの最新のMirai脅威報告書をリクエストすれば、アーバー製品固有の攻撃緩和に関するアドバイスが入手できます。

さらに、異なるプロセッサーアーキテクチャーにDDoS攻撃を仕掛けるマルウェアが引き続き拡がれば、ネットワークの現時点における最善の実践(BCP: Best Current Practice)を導入するためのネットワーク事業者がますます必要になります。Miraiは弱いパスワードで利用されているIPTVカメラやデジタル・ビデオ・レコーダーとの親和性が見られる一方で、攻撃者は他人が攻撃したことのないデバイスを標的にすることで満足するのです。マルウェアの作者がARCや他の組み込みプロセッサーにまでターゲットを広げれば、DDoS攻撃を仕掛けるマルウェアは電話やゲーム機などの幅広いインターネット接続機器を破壊しやすくなります。ネットワーク事業者は防御戦略を見直し、ケーブルを追うことでは感染を見つけ出すのが困難な内部装置の保護も行う必要があります。ネットワークのアーキテクチャーや運用についてのBCPを積極的に実行しなければ、スキャンやアウトバウンドのDDoS攻撃に付随する損害が起きる可能性があります。BCPについては参考情報[8]および[9]をご参照ください。

結論

IoTマルウェアの影響が明らかである一方、脅威の状況は常に進化しています。デフォルトのユーザー名とパスワードという最も脆弱なものはすでに悪用されており、攻撃者はデバイス自身の脆弱性というさらに大きな成果に向っています。これは、IoTデバイスはセキュアではなく悪用できるという、2016年にMiraiが世界にもたらした予兆を反映するものです。IoTマルウェアの行動規範は3つ、増殖、コマンド&コントロール、攻撃です。これは常に変わりませんが、徐々により洗練され、進化しています。

参考資料

[1] https://researchcenter.paloaltonetworks.com/2018/01/unit42-iot-malware-evolves-harvest-bots-exploiting-zero-day-home-router-vulnerability/
[2] https://research.checkpoint.com/good-zero-day-skiddie/
[3] http://blog.netlab.360.com/warning-satori-a-new-mirai-variant-is-spreading-in-worm-style-on-port-37215-and-52869-en/
[4] http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/
[5] https://www.reddit.com/r/LinuxMalware/comments/7p00i3/quick_notes_for_okiru_satori_variant_of_mirai/
[6] http://www.techdesignforums.com/practice/technique/power-performance-processor-ip/
[7] https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/
[8] https://app.box.com/s/osk4po8ietn1zrjjmn8b
[9] https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html