金融&IT業界の情報サイト
 
 


 
【IT業界ニュース】 >> 記事詳細

2017/04/11

【パロアルトネットワークス】Tsunamiの亜種である新しい IoT/Linux マルウェアがデジタルビデオレコーダーを標的に

| by:ウェブ管理者
 パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、新しい IoT/Linux ボットネット「Tsunami」の亜種である「Amnesia」を発見しました。Amnesia ボットネットによる攻撃は、TVT Digital 社ならびに TVT Digital 社から供給を受けた世界 70 以上のベンダーブランドによる DVR (デジタル ビデオ レコーダー) 機器に存在する、パッチを適用されていないリモートコード実行に関する脆弱性を狙います。
 この脆弱性は、約1年前の 2016 年 3 月に公開されました。以下の図 1 に示すスキャンデータから、本脆弱性により世界中のおよそ 22 万 7 千台の機器が影響を受けていること、とりわけ台湾、アメリカ合衆国、イスラエル、トルコ、インドが最も無防備な状態なことが分かります。日本も比較的台数は少ないものの、影響を受けることが分かります。

 Amnesia マルウェアは、マルウェア解析サンドボックスを避けるために仮想マシンの回避テクニックを採用した最初の Linux マルウェアであると考えられます。仮想マシン回避テクニックは、Windows やAndroid 用のマルウェアでは一般的に見られるものです。これらのマルウェア同様、Amnesia は自身が VirtualBox、VMware、QEMU などをベースにした仮想マシン上で実行されているかを見抜こうとします。仮想マシン上で実行されていることが分かると、ファイルシステム内のすべてのファイルを削除し、仮想 Linux システムを消去します。これにより Linux マルウェア分析サンドボックスだけでなく、VPS 上またはパブリッククラウド上で稼働する QEMU ベースの Linux サーバーも影響を受けます。

 Amnesia は脆弱なシステムをスキャンし、場所を特定し、攻撃することで、本リモートコード実行脆弱性を悪用します。攻撃に成功すると Amnesia は対象機器を完全にコントロールします。攻撃者は 2016 年の秋に見られた Mirai によるボットネット攻撃のような大規模 DDoS 攻撃用に Amnesia ボットネットを利用する可能性が考えられます。

 残念ながら 1 年以上前に公開されたにもかかわらず、本脆弱性の修正アップデートはありません。

 これまでのところ Amnesia ボットネットにより大規模攻撃が仕掛けられたことはありませんが、Mirai ボットネットによる攻撃から、大規模 IoT 機器ボットネットの引き起こしかねない損害の大きさがわかります。パロアルトネットワークスではすべてのお客様に、最新の保護が適用されているかの確認をお勧めします。またパロアルトネットワークスのお客様かどうかにはかかわらず、本稿の痕跡(Indicator of Compromise または IOC)セクションの一覧に記載した Amnesia の C&C (C2) サーバーへのトラフィックは遮断すべきです。


原文はこちら
https://www.paloaltonetworks.jp/content/pan/ja_JP/company/in-the-news/2017/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet1.html

19:14 | IT:一般
 

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害(間接的、直接的を問わず)について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

Copyright © 2010- GoodWay Inc. All rights reserved.