脅威リサーチ

Enemybot:Keksecによる最新のDDoSボットネットの外観

投稿者 Joie Salvio および Roy Tay | 2022年6月13日

3月中旬、FortiGuard Labsは「Enemybot」と呼ばれる新しいDDoSボットネットを確認しました。これはクリプトマイニングやDDoS攻撃を主に扱うKeksecが関与しています。

このボットネットは、主にGafgytのソースコードから派生したものですが、Miraiの元のソースコードから複数のモジュールを流用していることが確認されました。

このボットネットは、分析を妨げるため、複数の文字列難読化の手法を利用しており、他のボットネットから自身の身を隠します。また、Torネットワークに隠されたコマンド&コントロール(C2)サーバーに接続するため、テイクダウン(ボットネットの停止)がより困難になっています。

Enemybotは、Seowon IntechやD-Linkのルーターを標的にしていることが確認されているほか、最近報告されたiRZルーターの脆弱性を悪用してデバイスの感染を増やします。

本ブログでは、このマルウェアがこれらの脆弱性を悪用する方法、および感染したデバイス内で実行可能なコマンドについて詳しく説明します。

影響を受けるプラットフォーム: Linux
影響を受けるユーザー:     あらゆる組織
影響:             リモートの攻撃者による脆弱なシステムの乗っ取り
深刻度:            クリティカル

KeksecによるEnemybot

Enemybotが最初に行うことの1つは、Keksecに関係するメッセージを含むファイルを/tmp/.pwnedにドロップすることです。初期のサンプルでは、このメッセージは平文で保存されていました。その後わずか数日後には新しいサンプルがリリースされ、メッセージはマルチバイトの鍵を使用するXOR演算によってエンコードされました。このことから、本マルウェアは活発に開発されていることが示唆されます。

2022年3月24日に捕捉されたサンプル「fec09b614d67e8933e2c09671e042ce74b40048b5f0feed49ba81a2c18d4f473」には以下のように平文のメッセージが含まれています。

“ENEMEYBOT V3.1-ALCAPONE  hail KEKSEC”

2022年3月28日のSHA256のサンプルは、「93706966361922b493d816fa6ee1347c90de49b6d59fc01c033abdd6549ac8b9」のように、マルチバイトの鍵を使用したXOR演算によりメッセージがエンコードされています。

デコードを行うと、メッセージも次のように変化します。

“ENEMEYBOT V3.1-ALCAPONE - hail KEKSEC, ALSO U GOT haCkED MY [REDACTED(=非表示)] (Your device literally has the security of a [shitty device] / [smart doorbell])”

 

図1:.pwnedメッセージをデコードしたコードスニペット

その後、FortiGuard Labsのリサーチャーは、/tmp/.pwned のメッセージが平文バージョンに戻った新しいサンプルを発見しました。これは、複数の開発者が異なるバージョンのコードベースで作業しているか、異なるプログラミング慣習を持っている可能性が示唆されます。

Keksecは複数のボットネットを運用していることで知られており、それらの一部はGafgyt(別名Bashlite)を利用しています。Gafgytは、2015年にソースコードがリークされたDDoSボットネットです。

Enemybotの場合、Gafgytを主に利用していますが、モジュールの一部で明らかにMiraiのソースコードを流用していることが確認されました。これらの1つが、以下のスクリーンショットに示すEnemybotのスキャナモジュールです。

図2:MiraiのコードとEnemybotのスキャナモジュールのコードの類似は明白

Miraiと共通する別のモジュールとしてbot killerモジュールがあり、これは特定のファイルパスから起動された実行中のプロセス、またはプロセスメモリ内の特定のキーワードを含む実行中のプロセスを検索し、その後、これらのプロセスを終了します。EnemybotはMiraiの元のコードに60以上のキーワードを加えて強化されており、同じデバイス上で実行する競合プロセスを識別して強制終了します。

FortiGuard Labsはこのボットネットを調査中、過去に他のリサーチャーによって報告されたGafgyt_torと共通の類似点が複数あることを確認しており、EnemybotはGafgyt_torを更新し「名称を変更した」亜種の可能性があると評価しました。

技術的な詳細

複数のアーキテクチャに感染

本マルウェアは多くのボットネットと同様に、デバイスの感染機会を増やすため、複数のアーキテクチャに感染します。EnemybotはIoTデバイスだけでなく、Darwin(macOS)やx64などBSD系のデスクトップ / サーバーアーキテクチャも標的にします。

Enemybotが標的とするアーキテクチャは以下のとおりです。

  • arm
  • arm5
  • arm64
  • arm7
  • bsd
  • darwin
  • i586
  • i686
  • m68k
  • mips
  • mpsl
  • ppc
  • ppc-440fp
  • sh4
  • spc
  • x64
  • x86

Enemybotのダウンロードサーバーの以前の設定には誤りがあり、異なるアーキテクチャのELFバイナリの一覧が表示されていました(図3)。これは、執筆時点で、脅威アクターによってすでに修正されています。

 

図3:Enemybotダウンロードサーバーのディレクトリを開く

難読化

  • Enemybotは次のようにさまざまな方法で文字列を難読化します。
    • C2ドメインは、マルチバイトの鍵によるXORエンコードを使用します
    • SSHブルートフォースとbot killerのキーワードの資格情報は、バイトごとに0x22でXOR変換を行うMiraiスタイルのエンコードを使用します
    • コマンドは、ある文字を別の文字に置き換える換字式暗号によって暗号化されます
    • 一部の文字列は、各文字の数値に単に3を足してエンコードされます

これらの難読化技術は単純なものですが、簡易な分解析や他のボットネットから、存在を示すインジケータを隠すには十分です。Enemybotを含む大半のIoTボットネットは、同じデバイス上で実行する他のボットネットを終了させるために、このようなインジケータを検索することが知られています。

デバイスの感染を増やす

Enemybotは、他のIoTボットネットキャンペーンで観察されているいくつかの手法を利用して拡散します。

1つの方法は、ハードコードされたユーザー名 / パスワードの組み合わせリストを使用して、脆弱な資格情報やデフォルトの資格情報が設定されたデバイスにログインします。これも、Miraiのソースコードからコピーされたモジュールです。

また、本マルウェアはシェルコマンドを実行して、Android Debug Bridgeポート(5555)を公開するよう誤った設定がされているAndroidデバイスへの感染を試みます。

最後の方法は、以下のように、特定の脆弱性を持つデバイスを標的にします。

  • 脆弱性CVE-2020-17456は、SEOWON INTECH SLC-130ルーターおよびSLR-120Sルーターが標的になります。pingIPAddrパラメータに、不正なコマンドを注入することができます(図4)
図4:CVE-2020-17456のエクスプロイト要求
  • また、Seowon SLC-130ルーターを対象とする別の脆弱性(CVEの割り当てなし)も存在します。これは前述のエクスプロイトと類似していますが、今回は、脆弱なqueriesCntパラメータに対してコマンドが注入される可能性があります。この実装は、公開されているエクスプロイトコードをベースにしていると思われます。
図5:Seowon SLC-130ルーターを標的にする別のエクスプロイト
  • CVE-2018-10823 は旧型のD-Linkルーターの脆弱性で、認証ユーザーは、chkisg.htmページのSipパラメータに対して不正コマンドを実行することができます(図6)。本脆弱性の影響を受けるデバイスを以下に示します。
    • DWR-116、1.06まで
    • DWR-512、2.02まで
    • DWR-712、2.02まで
    • DWR-912、2.02まで
    • DWR-921、2.02まで
    • DWR-111、1.01まで

D-Linkにより、上記の一部のデバイスに対して更新ファームウェアが提供されています。これらのデバイスを確認し、脆弱なバージョンの場合、更新することをお勧めします。

図6:CVE-2018-10823のエクスプロイト要求
  • CVE-2022-27226はiRZモバイルルーターの最新の脆弱性で、2022年3月19日の公開直後にEnemybotによって悪用されました。実際、これは、FortiGuard Labsが確認した当ベンダーのデバイスを標的とする最初のボットネットです。

本脆弱性により、攻撃者は/api/crontabを利用して感染デバイスにcrontabエントリを追加することで、コマンドを実行することができます(図7)。

図7:CVE-2022-27226のエクスプロイト要求

また、FortiGuard Labsのリサーチャーは過去数週間、エクスプロイトが追加されたり削除されたさまざまなサンプルを確認しました。Enemybotの拡散に使用されていると思われるエクスプロイトのリストを以下に示します。

  • CVE-2022-25075~25084:以前にBeastmodeボットネットによって悪用されたTOTOLINKルーターが標的になります。
  • CVE-2021-44228/2021-45046:Log4jとしてよく知られています。詳細はFortinet PSIRTブログに掲載されています。
  • CVE-2021-41773/CVE-2021-42013:Apache HTTPサーバーが標的になります
  • CVE-2018-20062:ThinkPHP CMSが標的になります
  • CVE-2017-18368:Zyxel P660HNルーターが標的になります
  • CVE-2016-6277:NETGEARルーターが標的になります
  • CVE-2015-2051:D-Linkルーターが標的になります
  • CVE-2014-9118:Zhoneルーターが標的になります
  • NETGEAR DGN1000エクスプロイト(CVEの割り当てなし):NETGEARルーターが標的になります

このように、通常のIoTデバイス以外に幅広い対応アーキテクチャを組み合わせてWebサーバーやアプリケーションを標的とするエクスプロイトが混在することは、低リソースのIoTデバイスを超えてボットネットを拡大し、KeksecがDDoS攻撃以外の攻撃も可能かどうかをテストしている兆候だと思われます。Keksecによる過去のボットネットの運用から、クリプトマイニングにこれらのデバイスが利用される可能性が高いと考えられます。

エクスプロイトに成功すると、シェルコマンドを実行して、URLから別のシェルスクリプトがダウンロードされます。このURLはほとんどの場合、特にMiraiベースのボットネットではハードコードされています。一方で、Enemybotの場合、このURLは、LDSERVERコマンドを使用してC2サーバーによって動的に更新されます。この手法の明白なメリットとして、何らかの理由でダウンロードサーバーがダウンしている場合、ボットネットオペレータは新しいURLでボットネットを簡単に更新することができます。

その後、シェルスクリプト「update.sh」によって、標的とする各アーキテクチャ向けにコンパイルされた実際のEnemybotがダウンロードされ、実行されます。

図8:update.shのコードスニペット

コマンド機能とDDoS機能

ボットが被害者のデバイスにインストールされると、C2サーバーに接続して、次の命令を待ちます。C2サーバーはTorネットワーク内に隠されており、ボットは、ハードコードされたSOCKSプロキシIPの一覧を使用してアクセスを試みます。

このボットは、以下の表に記載されているいくつかのコマンドをサポートしています。

結論

FortiGuard Labsの分析によると、Enemybotは、KeksecによるDDoS攻撃に使用される最新のツールです。

Enemybotは自身を守るために、シンプルな文字列難読化技術を利用したり、TorネットワークにC2サーバーをホストすることで、ネットワークの匿名性を活用しています。また、他のDDoSボットネットに一般的に見られる複数の手口を活用して、他のデバイスに感染します。

本マルウェアは、この記事の調査中に変化があったことが確認されており、まもなく更新バージョンが配布されることが予想されます。

FortiGuard Labsは引き続きこのボットネットを監視していきます。

フォーティネットのソリューション

フォーティネットのお客様は以下によって保護されています。

FortiGuard IPレピュテーションおよびアンチボットネットセキュリティサービスは、脅威センサー、CERT、MITRE、協力関係にあるセキュリティ企業などで構成されるフォーティネット分散ネットワークから集約した不正送信元IPデータを基に攻撃を未然にブロックします。フォーティネット分散ネットワークは、このようなグローバルな情報源の連携によって、最新の脅威インテリジェンスが提供されます。

FortiGuardアプリケーションコントロールサービスは、悪意のある、リスクの高い、不正なアプリケーションを監視し、それらへのアクセスをブロックすることができます。Torを使用する特定のビジネス要件を持たないお客様の場合、アプリケーションコントロールサービスによるTorトラフィックの受信および送信のブロックについては、これらのフォーティネットの技術的なヒントを参照してください。

IOC(Indicators of Compromise:侵害指標)

ファイル

5260b9a859d936c5b8e0dd81c0238de136d1159e41f0b148f86e2555cf4a4e38
Download URLsb025a17de0ba05e3821444da8f8fc3d529707d6b311102db90d9f04c11577573
bf2f2eb08489552d46b8f50fb07073433f4af94e1215865c48d45f795f96342f
adb51a8d112590a6fdd02ac8d812b837bbe0fcdd762dba6bbba0bd0b538f9aef
373b43345a7e4a6b1d5a6d568a8f6a38906760ea761eacd51a11c164393e4bad
b56655c3c9eed7cd4bce98eeebdcead8daa75a33498ad4f287c753ecc9554aca
cebd50b3a72a314c935b426c0e6b30ec08e0e0cb53e474efffb66f0907309243
73e929575afc04758a23c027ebe4f60ab5c4ba0ab7fa8756b27ed71548302009
33d282c6bccf608d4fbf3a211879759019741c1b822c6cea56c6f479be598367
80f264d7b45a52bd000165f3f3b0fdc0e405f3f128a60a9ec6f085bfba114971
9acf649b74f4aae43a2db90b8d39a7cd39bf6b82c995da7a1ffa6f23c3549b14
a7213ae906a008ad06020436db120a14568c41eae4335d6c76f2bbc33ee9fbcc
2ea62957b9dd8e95052d64a48626c0fa137f0fa9ca4fa53f7f1d8fe35aa38dc0
2ec8016e5fb8375d0cc66bc81f21c2d3f22b785eb4f8e2a02b0b5254159696f5
06f9083e8109685aecb2c35441932d757184f7749096c9e23aa7d8b7a6c080f8
fec09b614d67e8933e2c09671e042ce74b40048b5f0feed49ba81a2c18d4f473
c01156693d1d75481dc96265b41e661301102f3da4edae89338ee9c64dc57d32
820703b9a28d4b46692b7bf61431dc81186a970c243182740d623817910051d1
9790f79da34a70e7fb2e07896a5ada662978473457ca5e2701bd1d1df0b9f10f
a799be50ad82e6338c9e0b33d38612e6ad171872407d5d7de36022adf9b8bf63
4b2b4876ecc7d466eceb30ecbd79001af142b629200bbe61ebd45f4e63cd62ef
d14df997bdf1e3fd3d18edf771376a666dd791dcac550c7dd8de0323823e1037
32faf178c5929510234f2d02aea39ca67ab893e18f60c1593f0c043153625e9d
cc5a743b458bb098998693a73b6a13b9946d375c7c01ac6d37937871d6539102
980fb4731a70a472699fcbee1a16e76c78c1b36ab6430b94dbe2169f8ac21340
93706966361922b493d816fa6ee1347c90de49b6d59fc01c033abdd6549ac8b9
f805f22f668bd0414497ddc061e021c5b80b80c9702053d72fc809f19307073b
2e6305521d4ac770fc661658da6736d658eef384a9aa68bc49613d2be2d23a0d
e8c9452581830668941b3dca59896d339eb65cd8f21875b0e36261e5c093f7fe

ダウンロードURL

http://198[.]12[.]116[.]254/folder/dnsamp.txt
http://198[.]12[.]116[.]254/folder/enemybotarm
http://198[.]12[.]116[.]254/folder/enemybotarm5
http://198[.]12[.]116[.]254/folder/enemybotarm64
http://198[.]12[.]116[.]254/folder/enemybotarm7
http://198[.]12[.]116[.]254/folder/enemybotbsd
http://198[.]12[.]116[.]254/folder/enemybotdarwin
http://198[.]12[.]116[.]254/folder/enemyboti586
http://198[.]12[.]116[.]254/folder/enemyboti686
http://198[.]12[.]116[.]254/folder/enemybotm68k
http://198[.]12[.]116[.]254/folder/enemybotmips
http://198[.]12[.]116[.]254/folder/enemybotmpsl
http://198[.]12[.]116[.]254/folder/enemybotppc
http://198[.]12[.]116[.]254/folder/enemybotppc-440fp
http://198[.]12[.]116[.]254/folder/enemybotsh4
http://198[.]12[.]116[.]254/folder/enemybotspc
http://198[.]12[.]116[.]254/folder/enemybotx64
http://198[.]12[.]116[.]254/folder/enemybotx86
http://198[.]12[.]116[.]254/folder/enemybotx64
http://198[.]12[.]116[.]254/update.sh

C2

xfrvkmokgfb2pajafphw3upl6gq2uurde7de7iexw4aajvslnsmev5id[.]onion (Tor network)