脅威リサーチ

MANGA (別名Dark):TP-Link製ルーターの新たなRCE脆弱性を標的にしたMiraiベースのキャンペーン

投稿者 Joie Salvio | 2021年12月24日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Linux
影響を受ける対象:       あらゆる組織
影響:             リモートの攻撃者による脆弱なシステムの乗っ取り
深刻度:            クリティカル



先週、FortiGuard Labsチームは、TP-Link製無線ルーターを標的とした現在実環境に広まっているマルウェアのサンプルを検知しました。このマルウェアは、2週間足らず前に明らかになった認証を必要とするRCEの脆弱性を利用しています。

このマルウェアは、Miraiの公開ソースコードに基づいたサンプルを広めるMANGA攻撃(別名Dark)の最新の亜種であることが判明しました。このMiraiベースの分散型サービス拒否(DDOS:Distributed Denial of Service)ボットネット攻撃は、FortiGuard Labsが積極的に監視し続けてきたものでした。我々が当初からこの攻撃に関心を抱いた理由は、この攻撃が標的としている脆弱性のリストが絶えず更新されているからであり、我々がこれまで見てきた他の攻撃よりもその傾向が強いです。

TP-Link社はこの影響を受けるハードウェアバージョン向けの更新版ファームウェアをすでに公開しているため、ユーザーは自身のデバイスを更新することが強く推奨されます。

この記事では、この脅威が新たな脆弱性を悪用して感染したデバイスを乗っ取る方法、およびこれらの攻撃からユーザーを保護するための方法について詳しく説明します。

新たな脆弱性の悪用

このMiraiベースのボットネット攻撃は、そのSSH/telnetコマンドに組み込むために使用されたトークン文字列に由来してMANGAと呼ばれています。この攻撃は、そのバイナリ用に使用されたファイル名に由来してDarkとも呼ばれています(例:Dark.armやdark.mipsなど)。

このマルウェア攻撃は、最近明らかにされた脆弱性を狙っており、脆弱性が公開されてからパッチが適用されるまでの時間的ギャップを突いてIoTデバイスに感染します。この手法により、マルウェアが拡散する可能性が高まって、類似するボットネットより増殖しやすくなります。このマルウェアの増大し続けている標的脆弱性リストに新たに追加されたのは、TP-Link製の家庭用無線ルーターであり、その中でも特にTL-WR840N EU(V5)モデルです。

このマルウェアが標的にしている脆弱性は、CVE-2021-41653という識別番号が割り当てられており、今年の11月12日に発見されたばかりです。それから2週間も経っていない11月22日には、MANGAマルウェア攻撃のサンプルでこの脆弱性を盛んに悪用している状況が確認されました。

こちらの記事では、Kamilló Matek氏がこの脆弱性を詳しく説明しています。要約すると、hostパラメータが脆弱な場合は、認証済みユーザーが標的デバイスで任意のコマンドを実行することが可能になります。

このケースでは、脆弱なhostパラメータが悪用されて、脆弱なデバイスがtshit.shという不正なスクリプトをダウンロードして実行するように強制されています。このスクリプトは実行されると、次のセクションで説明しているようにメインバイナリペイロードをダウンロードします。

このことを実現するために、以下の要求がデバイスに送信されます。

要求1:

要求2:

重要な強調点として、この攻撃が成功するためには認証が必要になります。したがって、各ユーザーが自身のデフォルトの認証情報を変更することが非常に重要です。

同じパッケージ

Miraiの通常の感染ルーチンと同様に、実行されたシェルスクリプトによって、各種のアーキテクチャとプラットフォームを対象にしたメインペイロードバイナリがダウンロードされて被害者のシステム内で密かに実行されます。また、このシェルスクリプトは、標的にされやすいポートへの接続をブロックすることで、他のボットネットが対象デバイスを乗っ取ることを阻止します。

図1:tshit.shによってメインペイロードがダウンロードされて接続がブロックされる

このマルウェアはC2(Command-and-Control)サーバーからのコマンドを待って、さまざまな種類のサービス妨害(DOS)攻撃をしかけます。

図2:DDOS攻撃に関する機能

ソリューション

フォーティネットのお客様は以下によって保護されています。

  • 次の汎用FortiGuard IPSシグネチャは、この脆弱性が公開される前にこの攻撃を検知できました。
    • TP-Link.HTTP.Management.Code.Execution
    • TP-Link.Home.Wifi.Router.CGI.Referer.Command.Injection
  • FortiGuard Webフィルタリングサービスは、ダウンロードされたURLと識別されたC2をブロックします。
  • FortiGuardアンチウイルスサービスは、この脅威をLinux/MiraiおよびELF/Miraiとして検知してブロックします。

結論

FortiGuard Labsは積極的な監視を通じて、MANGAまたはDarkと呼ばれるMiraiベースのボットネット攻撃の新しい亜種を検知できました。この攻撃が標的としているのは、最近公開されたTP-Link製無線ルーターのRCE脆弱性です。

今も続いているこの攻撃は、そのライフサイクル全体にわたって、新たに発見された脆弱性を盛んに標的としています。実際のところ、このブログの公開直前に、FortiGuard Labsの監視システムはさらにもう1つの最新亜種を検知しており、これについては現在調査中です。


FortiGuard Labsはこの攻撃の監視を継続し、必要に応じて最新情報を提供いたします。

IOC(Indicators of Compromise:侵害指標)

URLのダウンロード

http[:]//194.85.248.176/bins/eh.x86
http[:]//194.85.248.176/bins/eh.mips
http[:]//194.85.248.176/bins/eh.mpsl
http[:]//194.85.248.176/bins/eh.arm4
http[:]//194.85.248.176/bins/eh.arm5
http[:]//194.85.248.176/bins/eh.arm6
http[:]//194.85.248.176/bins/eh.arm7
http[:]//194.85.248.176/bins/eh.ppc
http[:]//194.85.248.176/bins/eh.m68k
http[:]//194.85.248.176/bins/eh.sh4
http[:]//194.85.248.176/bins/eh.86_64
http[:]//194.85.248.176/local.sh
http[:]//194.85.248.176/tshit.sh
http[:]//2.56.59.215/apache2.sh
http[:]//212.192.241.72/lolol.sh

サンプル(SHA256)

ebfc95372427f8b845daff9ff4aebe2451fa78e35a24edd084685f06ba3daee4
57f50f34e6df8ee9006e46b5fe5c4ee11febe9e33b087c809f1384563e9f1d4e
8ebef715ddb0b4e973b2f8c7529f4480b5caa9c4a25f8fd05a7eaacf036cca20
113be1f9db8af2469b82ce1b5d1b0c61c50586567b3898f2b8a614cd6e8f47a8
b4c3c79d148db638f891143a1910c3d17f973c512a719b1f7525a823b14d29a8
d3928d0b6dedce6a083123028e50ba76e1b29666e70a96eec1a7061b7303bf1a
6b463e9f5d9e8edbc235bceb854367b26ed6effb0dee9881a4f4e88a967318d5
d88052c0a76cac7e571870a4e87c5354594c26b4955cd934870dc12d48f129d5
265396023cbbad6b3480b851873ece9fa2f32c63739a7a0ac32d196843080cc8
83566400bdb09c5e2438c0d9ff723c88328ca93f29e648f97088342e239bfa09
af9ac01e9e8cf7064d590044df43adca566521d223662cf5e0e2500badff6998
de01f26209a085eeff8c217782d283640a6226ccf1bd27eefd696658b55d10ba
a4b16a5bf9b6e662050a3c5ff157d7b2f0be301a1f8f5d1359170132b8b22e58
7a47e5b83e3c42df2ab72adf4a041b2e382f61a0ff378f593156353a78c2c702
1bd895ed050ce42d0f39b6baa0b6a454e05eb5bff72290857cb8fb77a9e4b4b9
71ca57bbba49aa877f7ded340328342c6e82e3a99720734c8b0de150d44d906c
23b03aa7d1dadd2e71016702f3e1b278b3a2c4f0c7d0cdc272774a428b88d09c
fb7b03e7619d3ac5c4cbadc6b38841b11e3b19214b776073a590b571f91fe51e
3c978e02d21c7c12631d56c41aceb305fc11348a53eed47e29f7ce62ea0da4df
4832cff5666433a784d6ba48a0e400367d25314ef15d08a216b6286226eff342
95e4ac3ae03646cda56d80df80d775ed4bf23f98be42274fb440e7bc0d03ce88
8d390ad5af8d70692bda123b96e9745816ec7893d84682adb6d243619538b9d3
66adea50e0de8e1d664bb18c9f80596d1443b90e9ba57a59425720886a0c97e0
a87b502575d0db1b6257f1cf75edf4894bc84598f79148525b5cc449d143a495