新しいボットネットXLabs_V1は、既知のMiraiの亜種であり、Androidデバッグポート(ADB)を悪用してIoTデバイスを制御しています。誤ってADBが有効になっているスマートテレビ、セットトップボックス、ルーターによく見られるポート5555が開いているIPアドレスをスキャンします。侵入後、それらを勧誘して分散型サービス拒否(DDoS)攻撃を開始します。問題自体は新しいものではありませんが、その規模が異なります。🔥
技術層におけるマルウェアの動作方法 ⚙️
XLabs_V1は、露出したポート5555を検出するために大規模スキャンモジュールを使用します。見つけると、rootやshellなどのADBのデフォルト認証情報を使用して認証を試みます。アクセスに成功すると、昇格した権限で実行される悪意のあるバイナリをダウンロードします。このバイナリは他のプロセスをブロックし、永続化のためにiptablesルールを変更し、C2サーバーに接続します。そこから、TCP、UDP、またはHTTPトラフィックでターゲットを飽和させる命令を受け取ります。感染は静かで、ユーザーインターフェースに目に見える痕跡を残しません。
あなたに代わって汚い仕事をこなすボットネット 😈
この件で最も面白いのは、これらのデバイスの所有者が全く気づかないことです。Netflixを見るためだけにほとんど使っていないスマートテレビが、サイバー戦争の兵士として時間外労働をしています。その間、攻撃者はゾンビ化したセットトップボックスやルーターの軍隊が一銭も払わずに成長するのを見てほくそ笑んでいます。少なくともデバイスたちは、他人に迷惑をかけるためだけではあっても、一度くらいは役に立っていると感じていることでしょう。