コンテンツにスキップ
SSH を取得しましたか?
MikroTik がインターネットの最も攻撃的なボットネットにとって魅力的なのは、何か特別な理由があるからです。
長年にわたり、悪意のあるハッカーたちはMikroTikルーターの大規模なハッキングを行い、インターネットで最も破壊的なボットネットの一つであるTrickbotに組み込んできました。そして今、Microsoftはついに、これらのルーターがなぜ、どのように利用されているのかを解明しました。
Trickbotは、銀行詐欺に使用するアカウントパスワードを盗むトロイの木馬として2016年に登場しました。それ以来、Trickbotは、ランサムウェアや他のハッキンググループによるマルウェアをインストールするためのツール一式を提供する、高度にモジュール化された多段階のマルウェアフレームワークによって、インターネット上で最も攻撃的な脅威プラットフォームの一つへと急成長しました。
Trickbotを駆動するマルウェアは、その高度な機能で知られています。強力な管理者権限の取得、ネットワーク内のコンピュータからコンピュータへの急速な拡散、そして重要性の高い標的に属する感染コンピュータを特定する偵察活動に長けています。このマルウェアは、Mimikatzのような容易に入手可能なソフトウェアや、国家安全保障局(NSA)から盗み出されたEternalBlueのようなエクスプロイトを利用することが多いです。
C2を隠す
マイクロソフトは水曜日、TrickbotのオペレーターがMikroTikデバイスに侵入し、感染したコンピュータとデータやコマンドを交換するコマンド&コントロールサーバーの位置を隠蔽していると発表した。感染したコンピュータは、コントロールサーバーに直接接続するのではなく、仲介役として機能する侵入したルーターに接続する。
セキュリティアナリストが感染したコンピュータの接続を監視すると、家庭や企業内の侵入されたルーターに属するIPアドレスが見つかります。制御サーバー自体の場所は隠されており、プロキシルーターにアクセスしなければ検出できません。概要は以下のとおりです。
クレジット: マイクロソフト
クレジット: マイクロソフト
「TrickbotがMikroTikデバイスを使用する目的は、Trickbotの影響を受けるデバイスとC2サーバーの間に、ネットワーク内の標準的な防御システムでは検出できない通信回線を作成することです」とMicrosoftの研究者は記している。「攻撃者はまずMikroTikルーターへのハッキングから始めます。」
マイクロソフトによると、TrickbotがMikroTikと親和性が高い主な理由は、MikroTik独自のLinuxベースのRouterOSにあるという。このOSは、SSH(セキュアシェル)プロトコルを使用するコマンドをリモートでパイプすることを可能にする。コマンドの柔軟性と強力さにより、MikroTikルーターは理想的なプロキシとなる。Trickbotのオペレーターは、単一のコマンドを送信するだけで、多数のデバイスにボットネットアーキテクチャに有利な特定の方法でトラフィックを集中させることができる。
「/」で始まるコマンドには、/ip、/system、/tool などがあります。これらは通常、通常の Linux ベースのシェルウィンドウでは動作しません。一方、MikroTik シェルは、Trickbot オペレーターに便利なオプションメニューを提供します。例えば、Microsoft が Trickbot が送信したと観測したコマンドの 1 つは次のとおりです。
/ip ファイアウォール nat 追加 チェーン=dstnat プロトコル=tcp dst-port=449 to-port=80 アクション=dst-nat to-addresses= dst-address=
このコマンドは、iptables に似た新しいルールを作成し、ポート 449 を介して侵害されたコンピューターからデータを受信します。次に、このコマンドはポート 80 を介してデータをリダイレクトし、TrickBot サーバーに指示します。
「問題のコマンドは、NATルーターによるIPアドレス書き換えを可能にする正当なネットワークアドレス変換(NAT)コマンドです」とMicrosoftの研究者は説明している。「今回のケースでは、悪意のある活動に利用されています。Trickbotはポート443と449を使用することで知られており、過去には標的サーバーの一部がTrickBotのC2サーバーとして特定されていたことが確認されています。」
負ける方法、クリーンな状態を保つ方法
Trickbotはルーターを侵害するためにいくつかの方法を使用します。それらの方法には以下が含まれます。
- MikroTikのデフォルトのパスワードをまだ使用しているデバイスを悪用する
- 他のMikroTikデバイスから収集したパスコードを使用して、パスワード推測攻撃を実行する
- RouterOSバージョン6.42より前のデバイスにおけるCVE-2018-14847の悪用。この重大な脆弱性により、攻撃者はパスワードを含むuser.datなどの任意のファイルを読み取ることができます。昨年の調査によると、CVE-2018-14847は、30万台のMikroTikルーターで発見された3つの深刻な脆弱性の1つでした。
オペレーターがデバイスの制御権を取得すると、他の誰かがリモートで制御権を取り戻すことを防ぐためにパスワードを変更します。
クレジット: マイクロソフト
クレジット: マイクロソフト
この調査は、家庭用および中小企業向けルーターのセキュリティ維持のために、積極的に監視することの重要性を強調しています。そのため、マイクロソフトはMikroTikデバイスにおけるTrickbot関連の侵害を特定するためのフォレンジックツールをリリースしました。このオープンソースツールには、以下のような機能があります。
- デバイスのバージョンを取得し、パッチが適用されていない脆弱性にマッピングします
- スケジュールされたタスクをチェックする
- 疑わしいトラフィックリダイレクトルール(NATおよびその他のルール)を探します
- DNSキャッシュポイズニングを探す
- デフォルトポートの変更を探す
- デフォルト以外のユーザーを探す
ルーターやその他のIoTデバイスのユーザーは、他にも対策を講じる必要があります。リモートアクセスは、設定を必要とする経験豊富なユーザーがオンにしない限り、オフにしてください。リモートアクセス用でもローカル管理者用でも、すべてのパスワードは一意で、ランダムに生成され、10文字以上である必要があります。また、セキュリティ修正が必要な場合は、ファームウェアを更新してください。MikroTik製品をお使いの場合は、ファームウェアバージョン6.42以降を必ず使用してください。
「ルーターやその他のIoTデバイスに対する攻撃は目新しいものではなく、管理されていないと、ネットワークの最も脆弱なリンクになりかねません」とマイクロソフトの研究者は述べている。「したがって、組織はセキュリティポリシーとベストプラクティスを導入する際に、これらのデバイスも考慮する必要があります。」
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
49件のコメント
