IoT ボットネットの管理者がコマンド アンド コントロール サーバーに脆弱なユーザー名とパスワードの組み合わせを使用したため、そのボットネットがホワイトハット攻撃者に乗っ取られました。
ニュースキー・セキュリティーのアンキット・アヌバフ氏は、同社の研究者らが、Owariボットネットの制御に使用されていたMySQLサーバーを乗っ取ることができたと述べた。これは、作成者がポート3306を開いたままにし、ユーザー名とパスワードをルートに設定していたためだという。
「Mirai ボットネットは、ユーザー、履歴、ホワイトリストという 3 つのテーブルを含むコマンド アンド コントロール用の MySQL サーバーをセットアップするように設計されていました」と Anubhav 氏は説明します。
IoT ボットネットは進化し、その多くは異なる攻撃ベクトルを持っていますが、そのほとんどは、この実証済みの MySQL サーバー構造を維持しており、Owari も例外ではありません。
皮肉なことに、Anubhav氏は、MiraiとOwariはどちらも、総当たり攻撃によるパスワード推測やアプライアンスのデフォルト認証情報の悪用によってIoTデバイスに感染できると指摘しています。どうやら、この脆弱性はボットネットのコマンドインフラストラクチャにも及んでいるようです。
Miraiボットネットの新種「Okiru」がARCベースのキットを狙う
続きを読む
MySQLサーバーが完全に無防備な状態だったため、研究者たちはハッキングされた多数の機器の内部構造を覗き見ることができた。研究者たちは、Owariボットネットが顧客リストを保有し、各顧客が独自のログイン情報を持っていたことを発見した。これにより、所有者に金銭を支払ったユーザーは、一定期間、独自の攻撃を仕掛け、実行することが可能になった。
アヌバフ氏はまた、ボットネットによって開始された多くのDDoS攻撃が競合事業者を排除するための試みであったことを示す一連のログを含む履歴リストを発見した。
残念ながら、コマンド&コントロールサーバーにアクセスできたとしても、ボットネット全体が即座に速やかに終焉を迎えるわけではないとアヌバフ氏は説明する。
「残念ながら、ほとんどのIoTボットネットの場合、これらの[コマンドアンドコントロール]関連のIPの有効期限はすでに非常に短い(平均で1週間)ため、それほど単純ではありません」と研究者は書いている。
ボットネット運営者は、ネットワークトラフィックの悪化により、自分のIPアドレスがすぐにフラグ付けされることを認識し、レーダーに引っかからないよう、攻撃IPアドレスを自発的に変更することがよくあります。®
