>> サイバーニュース > CVE-2018-14558: これまで知られていなかった欠陥を介したTtintIoTトロイの木馬攻撃
サイバーニュース

CVE-2018-14558: これまで知られていなかった欠陥を介したTtintIoTトロイの木馬攻撃

未知のハッキンググループが、IoT固有のトロイの木馬として分類されるTtintと呼ばれるこれまで知られていなかったマルウェアを利用しています. 私たちが知っていることは、ハッカーの開発者が2つのゼロデイ脆弱性を使用してターゲットデバイスに侵入していることです。. セキュリティ分析は調査につながりました, したがって、2つの投稿されたアドバイザリの弱点を明らかにします: CVE-2018-14558およびCVE-2020-10987. キャプチャされたサンプルから, マルウェアはMiraiコードに基づいているようです.




CVE-2018-14558 & CVE-2020-10987TtintIoTトロイの木馬を配信するメカニズムとして使用

新しく危険なIoTトロイの木馬が世界中のデバイスを攻撃します. リリースされたコード分析によると, Miraiコードに基づいており、未知のハッキンググループによって開発されました. このカテゴリの他のウイルスと同様に、単一の感染が発生すると、他の同様のホストに自動的に侵入しようとします, これにより、その過程で大規模なボットネットネットワークが作成されます. このために, このような攻撃キャンペーンは、適切な構成とターゲットが作成されている場合、非常に効果的であると見なされます.

この特定のマルウェアの侵入は、次の典型的なアプローチを使用して行われます。 直接ネットワーク攻撃 — ハッカーは、必要な脆弱性がロードされた自動化されたフレームワークを使用します. ターゲットネットワークにパッチが適用されていない場合、感染は自動的に発生します. これらの侵入が損傷の可能性において重大であると見なされた理由の1つは、弱点が次のようにラベル付けされているためです。 “ゼロデイ”, それらは感染前は不明でした.

最初の攻撃 検出されました 十一月に 2019, TtintIoTトロイの木馬がTendaルーターの所有者に対して起動されたとき. この最初のインスタンスは2つの脆弱性を使用し、7月に公開されました 2020. 2回目の攻撃波は8月に実施されました 2020, 再びテンダデバイスに対して. Ttintトロイの木馬は、これら2つのアドバイザリの使用に重点を置いています:

  • CVE-2018-14558 — V15.03.06.44_CNを介したファームウェアを搭載したTendaAC7デバイスで問題が発見されました(AC7), V15.03.05.19までのファームウェアを搭載したAC9デバイス(6318)_CN(AC9), およびV15.03.06.23_CNを介したファームウェアを備えたAC10デバイス(AC10). コマンドインジェクションの脆弱性により、攻撃者は巧妙に細工されたgoform/setUsbUnloadリクエストを介して任意のOSコマンドを実行できます. これは、 “formsetUsbUnload” 関数は、信頼できない入力を使用してdosystemCmd関数を実行します.
  • CVE-2020-10987 — TendaAC15AC1900バージョンのgoform/setUsbUnloadエンドポイント 15.03.05.19 リモートの攻撃者がdeviceNamePOSTパラメータを介して任意のシステムコマンドを実行できるようにします.

入手可能な情報によると、攻撃のほとんどは南アメリカの犠牲者に対するものです。.

TtintIoTトロイの木馬機能

Tting Iotトロイの木馬はMiraiに基づいているため、同様の感染シーケンスが含まれています. 同じ分散型サービス拒否アプローチが含まれていますが, ハッカーは追加の実装も行っています 12 制御命令.

影響を受けるコンピュータで感染が実行されると、最初のアクションの1つは次のようになります。 ウイルストラックを隠す 検出されないようにする. これは、インストールされているセキュリティシステムを探すことを目的として、オペレーティングシステムを監視することによって行われます。. 見つかった場合、トロイの木馬はそれらを無効にしようとします, これは、ウイルス対策プログラムなどのプログラムやサービスで機能します, ファイアウォール, 仮想マシンホストなど. このマルウェアエンジンは、これらのプログラムをバイパスできない場合、自身を削除する可能性があります.

特定のシステムでトロイの木馬が見つかると、システムの再起動が妨げられます, これは一例です 永続的なインストール. これは意図的なものであり、デバイスの電源がオンになったときにウイルスを開始するだけのその他の同様の脅威とは異なります。.

マルウェアに関連するプロセスが動作する実際の名前は名前が変更されます, これは彼らの存在を隠す試みです. その操作に関連するすべての構成ファイルとデータは暗号化されます, それらをハッカーだけが利用できるようにする. TtintIoTトロイの木馬の特徴的な機能のいくつかは次のとおりです。:

  • 高度なトロイの木馬操作 –ローカルにインストールされたエージェントプログラムは、ハッカーが制御するサーバーに接続し、リモートの攻撃者がデバイスの制御を完全に引き継ぐことを可能にします. でも, 標準接続を使用する代わりに, この特定のウイルスは、パケットの追跡を非常に困難にするWebSocketプロトコルを使用します.
  • プロキシサーバーの使用 –ローカルコンピューターとリモートのハッカー制御サーバー間の通信は、犯罪者が操作するプロキシサーバーを介して中継されます.
  • ネットワークアクセスハイジャック –マルウェアは、ターゲットデバイスの重要な構成ファイルを再構成します. 彼らはほとんどルーターであるため、犯罪者はユーザーのネットワークアクセスに完全にアクセスできます。.
  • ネットワークエクスポージャー –ファイアウォールルールを書き換えることにより、脅威は、内部ネットワークの背後にあるマシンに展開されているプライベートサービスを公開できるようになります。.
  • アップグレード –一定の間隔で、メインのマルウェアは新しいバージョンがリリースされているかどうかを確認します. 新しいイテレーションに自動的に更新できます.

このカテゴリの他のウイルスのように, それはすることができます 機密情報を乗っ取る ホストデバイスから, 利用可能なハードウェアコンポーネントを含む. 収集されたデータは、ネットワーク送信中に犯罪者に報告されます.

組み込みの実装済みコマンドの完全なリストは次のとおりです:

Attack_udp_generic, Attack_udp_vse, Attack_udp_dns, Attack_udp_plain, atack_tcp_flag, Attack_tcp_pack, Attack_tcp_xmas, Attack_grep_ip, Attack_grep_eth, Attack_app_http, 「nc」コマンドを実行します, 「ls」コマンドを実行します, システムコマンドを実行する, ルーターDNSの改ざん, デバイス情報を報告する, iptablesを構成する, 「ifconfig」コマンドを実行します, 自己出口, Socks5プロキシを開く, ClosSocks5プロキシ, 自己アップグレード, リバースシェル

現時点での最善の改善策は、 利用可能な最新のファームウェアにアップグレードする デバイスメーカーから. この時点で テンダ ターゲットデバイスの唯一の既知のメーカーです. 攻撃の規模と広範な機能のリストを考えると, 将来の攻撃は、より広範囲のIoTデバイスを標的にすることが予想されます.

関連している: MrbMinerマルウェアが世界中の攻撃でMSSQLデータベースに感染する

マーティン・ベルトフ

マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します