0001あられお菓子 ★
2018/05/22(火) 12:44:33.40ID:CAP_USERhttp://www.itmedia.co.jp/news/articles/1805/22/news064.html
Wickedについて報じたSANS Internet Storm Centerのページ
http://image.itmedia.co.jp/news/articles/1805/22/ki_wick02.jpg
Wickedに感染したデバイスには、「Omni」というボットネットがダウンロードされる(出典:Fortinet)
http://image.itmedia.co.jp/news/articles/1805/22/ki_wick01.jpg
米セキュリティ機関のSANS Internet Storm Centerは5月21日、IoTデバイスを狙うマルウェア「Mirai」を
ベースにした新手のボットネット型マルウェアが出回っていると伝えた。
SANSによると、MiraiがIoTデバイスのデフォルトの認証情報を突くなどの手口で感染を広げていたのに対し、
新手のボットネット「Wicked」は、特定のIoTデバイスの脆弱性を悪用する手口を使っている。
標的にされているのは、Netgearのルータ「DGN1000」「DGN2200」(8080番ポート)と「R7000」「R6400」
(8443番ポート)、CCTV-DVR(81番ポート)、および改ざんされたWebサーバに仕込まれている
Invokerシェル(80番ポート)。それぞれのポートをスキャンして、接続が確立されると別のマルウェアを
呼び込もうとする。
現時点で、Wickedに感染したデバイスには、「Omni」というボットネットがダウンロードされるという。
セキュリティ企業のFortinetによれば、それ以前には「Sora」「Owari」と命名されたボットネットが
ダウンロードされていたことが分かっており、WickedとSora、Owari、Omniはいずれも同じ人物によって
作成されたとFortinetは推定している。
IoTマルウェアのMiraiは2016年に出現して史上最大級の分散型サービス妨害(DDoS)攻撃を引き起こし、
その後ソースコードが公開されたことから亜種が続出していた。
Fortinetによると、Miraiに手を加えた亜種は増え続けており、感染したデバイスをプロキシサーバ化したり、
仮想通貨の採掘に利用したりする亜種も見つかっているという。
