事例Use case

【Bitdefender海外ブログ】Ttintは、Tendaルーターを標的とする新しいIoTマルウェア

2020.12.22

ツイート シェア 送る はてブ

wlan-3131127_1920.jpg

4年前に流行した「Mirai」ベースのマルウェアにTenda製ルーターが感染

セキュリティ研究者は、最近公表されたゼロデイ脆弱性を使用しTenda AC15AC1900ルーターに感染する、新しいMiraiベースのIoTマルウェアを発見しました。

市販のルーターには多くのセキュリティ問題があります。サポートの欠如もその1つで、ファームウェアアップデートをほとんど提供しないメーカーもあります。最近の調査によると、ルーターは平均して1年に1回セキュリティ更新プログラムを受け取りますが、さらにその間隔が広くなる場合もあります。

360Netlabのセキュリティ研究者は、2016年に大混乱を引き起こした悪名高いボットネット「Mirai」をベースにした新しい「リモートアクセス・トロイの木馬(RAT)」を発見しました。それ以来、今回発見されたTtintを含め、他の多くのマルウェアがMiraiのコードを利用するようになりました。

DDoS攻撃だけでなくルーターDNSの改ざんも可能に

360Netlabのセキュリティ研究者は次のように述べています。「従来のMirai亜種は通常、主にDDoS攻撃を仕掛けようとしますが、この亜種は異なります。DDoS攻撃に加えて、ルーター機器用のSocket5プロキシ、ルーターDNSの改ざん、iptablesの設定、カスタムシステムコマンドの実行など、12のリモートアクセス機能を実行します。」

Ttint開発者はまた、WSS(WebSocket over TLS)プロトコルを使用してコマンドセンターと通信し、Mirai通信に対する定期監視をTtintが回避できるよう設計しています。

半年間脆弱性が放置されたために、攻撃の標的に

攻撃者はマルウェアをデプロイする(インストールして実行させる)際、2つの異なるTendaゼロデイ脆弱性(CVE-2018-14558およびCVE-2020-10987)を利用することで、まんまと攻撃を成功させました。記録をたどると、2019年11月9日に最初の兆候が検出されていることから、攻撃者がこのような脆弱性について把握していたことがわかります。当該脆弱性が正式に公表されたのは、2020年7月10日だったからです。

サイバー犯罪者たちがTendaルーターを感染させるまで6か月以上の期間があったにもかかわらず、Tendaは研究者による指摘への対応はおろか、アップデートのリリースさえ未着手の状態です。このようなボットネットが機能してしまうのは、ルーターのメーカー側が、サポート期間中の機器に対してすら、脆弱性を修正しようとしないことが原因です。

標的ルーターTenda AC15 AC1900に対する攻撃を緩和する手段として、当該ルーターを再起動する以外の方法は現状では見当たりません。さらに、再起動したとしても再感染の防止が保証されることもない状況です。

翻訳元記事 Ttint Is a New IoT Malware Targeting Tenda Routers

SECURIEでスマート家電やIoT機器を保護

SECURIE powered by Bitdefenderは、スマート家電、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

SECURIE_201222.PNG1.Bitdefender Centralアプリ
Bitdefender BOXの設定・管理はBitdefender Centralアプリで行います。TOPのアクティビティ画面では、保護されたトラフィック量が1時間ごとに表示されます。

1.Top_201222.PNG2. デバイス検知・デバイス管理
家庭のネットワークに新しいデバイスが接続すると、BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。接続されているすべてのデバイスの保護状態を可視化し、一元管理できるので安心です。

2.デバイス一覧_201222.PNG3.脆弱性診断(セキュリティ診断)
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらの脆弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

4.脆弱性レポート_201222.png