MiraiNewVariantはポートを使用 23, ポート 2323 およびCVE-2016-10401

クリスマス直前のみらいの新作? もちろん, なぜだめですか!

Qihoo 360 Netlabの研究者は 目撃した 有名なMiraiIoTマルウェアの新しい亜種に関連するボットネットアクティビティを追跡する際の新しい上昇. ユーザーは、ポートに注意する必要があります 23 と 2323 ZyXELCommunicationsによって製造されたIoTデバイスを対象としています. デバイスは、デフォルトのadmin/CentryL1nkおよびadmin/Qwestm0demtelnetクレデンシャルを使用していることがわかっています。, 研究者は報告した.

約 60 時間前, 以来 2017-11-22 11:00, ポートに大きなアップティックがあることに気づきました 2323 と 23 トラフィックをスキャンする, ほぼ10万のユニークなスキャナーIPがアルゼンチンから来ました. 調査後, これが新しいMiraiの亜種であると私たちは確信しています.

研究チームは2つの新しい資格を観察しました – admin / CentryL1nk と admin / QwestM0dem –ハニーポットトラフィックで. どうやら, 2つのポートは現在アクティブに使用されています. クレデンシャルadmin/CentryL1nkは、1か月以内にexploit-dbのZyXELPK5001Zモデムに関するエクスプロイトで最初に出現したことに注意してください。.

Miraiは、デフォルトのパスワードとユーザー名を介してアクセスするIoTデバイスに広がり、影響を及ぼし始めた昨年に登場しました. 影響を受けるデバイスは、分散型サービス拒否攻撃のために配備されたボットネットに含まれていました (DDoS). DNSプロバイダーのDynは、TwitterやNetflixなどの人気のあるプラットフォームへの攻撃につながる最大の犠牲者の1人でした.

今年の2月には、ボットネットにWindowsの亜種が搭載されていました。, Trojan.Mirai.1, Drのセキュリティ研究者によって明らかにされたように. ウェブ. 新しい亜種はWindowsを対象としており、Linuxの対応するものよりも多くのポートを危険にさらす可能性があります. Trojan.Mirai.1は、IoTデバイスにも感染し、DDoS攻撃を実行していました, Linuxバージョンと同じように.

すでに述べたように, 現在の攻撃は2つの新しいクレデンシャルを利用しています (admin/CentryL1nkおよびadmin/QwestM0dem). どうやら, ハッカーは、telnetクレデンシャルを介してZyXELデバイスにログインするプロセスを正常に自動化しました. CVE-2016-10401として識別された別のハードコードされたスーパーユーザーの脆弱性も、標的のデバイスでルート権限を取得するために利用されました.

CVE-2016-10401に関する詳細

ZyXEL PK5001Zデバイスには、suパスワードとしてzyad5001があります, これにより、root以外のアカウントのパスワードがわかっている場合、リモートの攻撃者がrootアクセスを取得しやすくなります。 (または、ルート以外のデフォルトアカウントが、これらのデバイスのISPの展開内に存在します).

研究者は、このエクスプロイトが10月に最初にリリースされて以来、攻撃者がこのエクスプロイトの詳細を公開して積極的に悪用するという厄介な傾向を観察しています。.

Qihoo 360 研究者は、上記の2つの資格情報の悪用が11月に始まったと報告しました 22. チームは、スキャナーのIPトラフィックのほとんどがアルゼンチンからのものであることを検出しました。 65.7 1日以内に数千のユニークなスキャナー.

ZyXELギアが危険にさらされるのはこれが初めてではありません

数ヶ月前, 研究者のStefanViehböckは、ZyXELによって作成されたWiMAXルーターは、悪意のある攻撃者が管理者ユーザーのパスワードを変更できる可能性のある認証バイパスの影響を受けやすいと報告しました。, ターゲットデバイスまたはネットワーク自体へのアクセスを取得します.

別の研究者, ペドロ・リベイロ, ZyXELによって製造され、TrueOnlineによって配布されたルーターで、アクセス可能な管理者アカウントとコマンドインジェクションの欠陥に遭遇しました, またはタイ最大のブロードバンド企業.

IoTデバイスを保護する方法 – いくつかの役立つヒント

悪意のある侵入やその他のセキュリティの脅威からネットワークとホストを保護するために、すべてのIoTデバイスの所有者が従う必要のあるガイドラインがいくつかあります。. これらの対策は、すべての対策を採用しない理由としてしばしば提起される長い時間を必要としません。. 環境によっては、構成変更の規模に多少の違いがある場合があります. それにもかかわらず, ほとんどの脅威に対して適切なセキュリティを提供する必要がある、より一般的なヒントを提供します.

• 重要でないネットワークへの露出を最小限に抑える –これは実際にはハッカーの攻撃を最小限に抑える最も簡単な方法の1つです. これは、デバイスの所有者が実装できる最も簡単な手段の1つでもあります. このポリシーでは、ユーザーが使用しないすべての未使用の機能とサービスをオフにする必要があります. デバイスが重要ではない場合 (重要なサービスはそれに依存していません) 使用しないときはオフにすることもできます. 外部ネットワークからの管理者アクセスを防ぐ優れたファイアウォール設定は、ブルートフォース攻撃から保護できます. 重要な機能を提供するデバイスは、主要な職場またはホームネットワークから別のゾーンにセグメント化できます.
• 徹底したセットアップ –多くの侵入攻撃は、ブルートフォース攻撃と辞書攻撃という2つの一般的な方法を使用して実行されます。. それらは、アプライアンスの認証メカニズムに対して機能します. システム管理者は、侵入検知システムを追加することで、強力なパスワードポリシーとブルートフォース攻撃を防御する手段を適用できます。. 安全なプロトコルを使用することも良い考えです–適切なセキュリティ構成のVPNとSSH.
• セキュリティアップデート –所有しているアプライアンスにセキュリティ更新プログラムを提供しないことは、侵入攻撃につながる最大の問題の1つである可能性があります。. 定期的な更新を実行することが重要です, 詳細についてはクリックしてください.
• 追加のセキュリティ対策を実装する – IoTデバイスを企業環境または実稼働環境で使用する場合、セキュリティを強化する方法はいくつかあります。. これらには侵入テストが含まれます, プロアクティブなネットワーク管理および分析方法.