脅威リサーチ

Miraiベースのボットネット:MoobotがHikvisionの脆弱性を標的に

投稿者 Cara Lin | 2021年12月22日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Hikvision製品
影響を受ける対象:       IP Cam / NVR
影響:             この脆弱性を悪用すると、攻撃者は、悪意のあるコマンドを含むメッセージをWebサーバーに送信して、コマンドインジェクション攻撃を実行できます。
深刻度:            クリティカル

去る9月18日、ある脅威リサーチャーが、世界最大級の映像監視機器ブランドであるHikvision社の各種製品に影響を与えるリモートコード実行の脆弱性に関する論評を発表しました。Hikvision社はCVE CNA (Common Vulnerabilities and Exposures 採番機関) であり、直ちにCVE番号CVE-2021-36260を割り当て、この脅威リサーチャーが開示した同日中に、この脆弱性のパッチをリリースしました。直後に、FortiGuard LabsはIPSシグネチャを開発し、この脅威に対応しました。

解析時、この脆弱性を悪用してデバイスのステータスを探索したり、被害者から機密データの抜き取りを試行したりする大量のペイロードが観察されました。特に、あるペイロードに注目しましたが、これは、ダウンローダー(感染の振る舞いを示す)をドロップするほか、MiraiベースのDDoSボットネットであるMoobotの実行も試みます。このブログでは、攻撃者がHikvisionの脆弱性を利用してこのペイロードを配信する方法、およびこのボットネットの詳細について説明します。

ステージ0:悪用および拡散

CVE-2021-36260は、入力検証が不十分なことに起因しており、未承認のユーザーが悪意のあるコンテンツを<language>タグに注入して、Hikvision製品にコマンドインジェクション攻撃を実行できます。このエクスプロイトを利用したリクエストの例を以下に示します。

図1:CVE-2021-36260のエクスプロイトトラフィック

私たちは、この脆弱性を悪用する大量のペイロードを収集し、最終的にダウンローダーを発見しました。以下の図は、このトラフィックのキャプチャを追跡した結果の完全なペイロードを示します。

図2:CVE-2021-36260のペイロード

最終的に、Moobotは「macHelper」として保存されるため、まず、最初に「macHelper」という名前の既存のすべてのファイルを削除することを試みます。次に、ECHOコマンドで、「ダウンローダー」であるELF 32ビットLSB ARM形式の小さなファイルにコードを書き込みます。ダウンローダーがダウンロードを完了すると、パラメータ「hikivision」を付けてMoobotを実行します。最後に、一般的に使用される「reboot」などのコマンドを変更して、管理者が、感染したデバイスの再起動を実行できないようにします。

ステージ1:ダウンローダー

攻撃者は、この脆弱性を利用して、ダウンローダー(SHA256: 1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F)をドロップします。このペイロードのジョブは1つのみで、メインのボットネットをダウンロードすることです。このマルウェアは、サーバー「199.195.250[.]233:80」のURI「/arm5」からダウンロードされ、ダウンロードプロセスに成功すると「RAY」と表示されます。以下の図は、逆アセンブリしたコードを示します。

図3:ダウンローダー

このIPアドレスからは、さまざまなアーキテクチャ用のMoobotの亜種が見つかったほか、「/h」ディレクトリから過去のマルウェアが見つかりました。

図4:ダウンローダーのIPのサンプルリスト

ステージ2:Moobot

当社の分析によると、前のステージでダウンロードされたこのマルウェア(SHA256: 38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557)は、MiraiベースのMoobotでした。最も明白な特徴としては、このマルウェアには、「rand_alphastr」関数に使用されるデータ文字列「w5q6he3dbrsgmclkiu4to18npavj702f」が含まれていることです。この関数は、ランダムな英数字の文字列を生成するために使用され、プロセス名の設定や攻撃データの生成など、さまざまな目的で利用されます。

図5:Moobotの英数字文字列の関数

また、Miraiの別の亜種のボットネットであるSatoriの要素もいくつか含まれています。Satoriには、被害者のIoTデバイスを標的にする「ダウンローダー」が含まれており、実行後、「9xsspnvgc8aj5pi7m28p」という文字列が表示されます。また、この亜種は、「/usr/sbin*」という名前のプロセス名で自身を分岐して、元のファイル「macHelper」を削除して、通常のプロセスのように装います。

図6:Moobotのコードスニペット

この亜種はMiraiベースのため、ボットネットにも、構成を保存するデータセクションが含まれています。平文の構成は、0x22でXOR変換してデコードすることができます。

図7:構成が含まれているデコード後のデータ

この構成情報からC2サーバー(life.zerobytes[.]cc)を把握した後、ハートビート(\x00\x00)パケットの送信を開始して、C2サーバーからの次の制御コマンドを待ちます。被害者のシステムがコマンドを受信すると、特定のIPアドレスとポート番号に対してDDoS攻撃を開始します。DDoS攻撃トラフィックの1つの例を以下に示します。

図8:SYNフラッド

DDoS攻撃のコマンドは24バイトで、図8のDataセクションで確認できます。詳細を以下の図に示します。この図には、Floodメソッドと標的のIP / ポートが表示されています。このC2サーバーは、SYNフラッド以外にも、UDPフラッド用の0x06、ACKフラッド用の0x04、ACK+PUSHフラッド用の0x05など、他の攻撃コマンドも使用します。

図9:コマンド

図10は、Hikvision製品への感染から、Moobotの展開までの全体的な攻撃シナリオを示しています。

図10:攻撃シナリオ

また、マシンのパケットキャプチャから、あるDDoSサービスプロバイダーを発見しました(図11)。当社は、DDoSサービスを提供する「tianrian」という名前のテレグラムチャネルを追跡しました。このサービスプロバイダーは、ログインインタフェースに「openmeokbye」という特定の文字列を使用しています(図12)。このチャネルは、2021年6月11日に作成され、8月にサービスを開始しました。このチャットチャネルを見ると、まだサービスが更新されていることを確認できます。ユーザーは常にDDoS攻撃に注意し、脆弱なデバイスにパッチを適用することをお勧めします。

図11:感染したマシンのトラフィックキャプチャ
図12:テレグラムチャネル

結論

Hikvisionは、IPカメラ / NVR製品の世界市場における最大のプロバイダーの1つです。CVE-2021-36260は、Hikvision製品をMoobotの標的にするクリティカルな脆弱性です。このブログでは、攻撃者がCVE-2021-36260を悪用する方法を紹介し、プロセスの各ステージを詳細に説明しました。

この脆弱性に対処するためのパッチがリリースされましたが、このIoTボットネットは、常に脆弱なエンドポイントを探しています。したがって、ユーザーは影響を受けるデバイスを直ちにアップグレードし、FortiGuardのソリューションを適用することをお勧めします。

フォーティネットのソリューション

フォーティネットは、当社のお客様をプロアクティブに保護するため、CVE-2021-36260に対してIPSシグネチャ「Hikvision.Product.SDK.WebLanguage.Tag.Command.Injection」をリリースしました。このシグネチャは、IPS定義バージョン18.192で正式にリリースされました。

該当のサイトのダウンローダーおよび関連するすべてのマルウェアは、FortiGuardアンチウイルスによって以下のように検知され、ブロックされます。

ELF/Mirai.AE!tr

ELF/Mirai.BO!tr

ELF/Mirai.D!tr

ELF/Mirai.AYU!tr

ELF/Mirai.WJ!tr

Linux/Mirai.WJ!tr

FortiGuardのWebフィルタリングサービスでは、ダウンロードURLとC2サーバーは、どちらも「悪意のあるWebサイト」として評価されています。

IOC(Indicators of Compromise:侵害指標)

SHA256: 

1DCE6F3BA4A8D355DF21A17584C514697EE0C37B51AB5657BC5B3A297B65955F

38414BB5850A7076F4B33BF81BAC9DB0376A4DF188355FAC39D80193D7C7F557