新たな銀行系マルウェアの亜種が実環境で発見されました。このマルウェアは UPnP を使用して家庭用ルーターを破壊し、ボットネットの一部として採用された無防備な家庭ユーザーを危険にさらします。
マカフィー研究所によると、新たな攻撃では古い「ピンクスリップボット」の亜種が使用され、ユニバーサル・プラグ・アンド・プレイ(UPnP)を使って家庭用ルーターのポートを開き、「インターネット上の誰からでも感染したマシンと通信できる」という。
あらゆる認証情報収集ボットネットと同様に、マルウェアはボットマスターを危険にさらすことなく、その戦利品をボットマスターに返す必要があり、ここで UPnP エクスプロイトの出番となります。
現在の Pinkslipbot 攻撃では、UPnP は単に標的へのパスを提供しているだけであり、マルウェアにリストされている IP アドレスから HTTPS サーバーを提供するマシンに感染します (McAfee の Sanchit Karve 氏は、同社が HTTPS ベースの C&C サーバーを確認したのはこれが初めてだと書いています)。
これらのマシンは、C&C サーバーの IP を保護するために展開される 2 層のプロキシのうちの最初の層として機能します (下の画像を参照)。
このキャンペーンの背後にいるマルウェアの悪党どもは、実に徹底的です。感染前に、Comcastのインターネット速度テスター(米国のIPアドレスのみ受け付けます)を使って標的の接続状態を確認します。標的が速度テストに合格すると、マルウェアはUPnPポートにアクセスして利用可能なサービスを確認し、脆弱なシステムでは27個のポートをチェックして外部とのマッピングが可能かどうかを確認します。
攻撃者は、1 つ以上のポートを利用できるようにして、ファイアウォールの背後にあるマシンを感染させ、そのトラフィック用の永続的なポート マッピングを作成し、それを C&C プロキシとして実行します。
ゾンビ C&C は、このlibcurlライブラリを使用して、「実際の」C&C サーバーとの通信を処理する第 2 層プロキシに情報を渡します。
McAfee は、ホーム ユーザーは「ローカルのポート転送ルールを常に監視する」べきであり [そんなはずはない! -編集者]、必要がない場合は UPnP をオフにすべきだと提案しています (はるかに賢明です)。
マルウェアが UPnP を悪用したのは今回が 2 回目だというのは本当かもしれませんが (最初は昔の Conficker によるものでした)、このプロトコルにはセキュリティ上の悪夢を引き起こすほどのバグが数多く発見されています。®
