Miraiボットネットの作者は裏世界に魅せられた(本業は)DDoS保護デベロッパーだった

ddos

数千という大量の、セキュリティの貧弱なIoTデバイスを襲い、彼らにDoS攻撃対策を迫ったボットネットMiraiが、善玉よりも悪玉であることに魅力を感じた、ある若いデベロッパーの作であることが分かった。

最盛期のMiraiに自分のサイトをやられたセキュリティの研究家Brian Krebsによる、この長くておもしろい調査は、ほとんど無限のように長いパン屑の連なりを辿って、Anna-senpaiとして知られるハッカーを見つけた。この大規模なDDoSのようなサイバー攻撃の、犯人を探り当てるまでの過程に関心のある方は、Krebsの調査をぜひ読むべきだ。

この記事では、そんなひまのない方のために、‘上司のためのまとめメモ’(executive summary)を提供しよう。Anna-senpaiは、本名Paras Jhaが使っている何十もの偽名の一つのようだ。彼はDDoS保護サービスProTrafのファウンダーだが、稼げるMinecraftサーバー市場は競争も激しくて、顧客をほかのホストから切るために、不正な手段に頼った。

miraiconnections

Krebsの調査報告文書の一部、いろんな名前が蜘蛛の巣(web)のように絡み合っている。

ProTrafの社員数名、…おそらく全員が、競合サービスに対するDDoS攻撃を実行したようだ。5分間の攻撃に対して、100bitcoinのボーナスをもらった。彼ら同士のさまざまな会話から、このことが分かる。

Jhaは、裏世界の仕事をしているハッカーに特有の、自分のクレジット(「俺がやったんだ!」)を主張したいという衝動に、屈したようだ。Jhaや彼の同僚に結びついているさまざまな人物が、多くの攻撃の実行犯、Miraiのコードの作者、そして世界中のサービスプロバイダに対する金銭強要の犯人だった。

ネット上の二人の人物(名前)のコードの書き方がそっくり、とか、特定の人しか知らないはずのデータを攻撃に利用している、などの手がかりをKrebsはつなぎあわせて、犯人に到達した。彼は9月に自分のサイトがやられたことを、彼自身に対する公然たる侮辱、と感じていた。

今後の調査についてKrebsに問い合わせているので、情報が得られ次第この記事をアップデートしよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

強力なDDos攻撃アプリケーションMiraiがGitHub上でオープンソース化、逮捕回避のための煙幕か

enterprise-security

KrebsOnSecurityやそのほかのWebサーバーに大きなダメージを与えたボットネットのMiraiは、セキュリティの脆弱なIoTデバイスを利用して、大規模なDoS攻撃を仕掛ける。しかしその作者はこのほど、それのソースコードをGithub上に公開したらしい。

Cで書かれたその短いコードは、IPカメラなどインターネットに接続されたデバイスの上で実行される。rootのパスワードを試行によって探り当て、デバイスに侵入、事前に決めてあったターゲットにトラフィックを送る。試行するパスワードが書かれているコードは、このファイルにある。

screen-shot-2016-10-10-at-10-46-27-am

ハッカーはこのボットネットを使って、620GbpsのDDoSをKrebsOnSecurityへ送った。そこはBrian Krebsのセキュリティに関するブログとして、かねてから人気のサイトだ。そのボットネットは強力ではあるものの、当のIoTデバイスをリブートすれば止まる。また、デバイス側のシステムアップデートにより、被害機は徐々に減っているようだ。コードをHackforumsにポストしたハッカーのAnna-senpaiはこう述べている、“Miraiでは、telnetからだけで最大380k(38万)のボットを取り出していた。でもKrebsをDDoSしてからは、徐々にISPたちがそれらを掃除するようになった。今では最大は300k程度で、しかも減りつつある”。

Krebsはハッカーたちの逮捕を求めており、今回のコード公開は利他的動機によるものではない、と見ている。

彼曰く: “Anna-senpaiがMiraiのソースコードを公開した理由はよく分からないが、利他的な行為ではありえないだろう。悪質なソフトを開発している連中は、警察や警備会社などに居場所を突き止められそうになったら、ソースコードをばらまいて煙幕を張る。公開して誰でもダウンロードできるようにすると、コードの持ち主が即犯人、とは言えなくなるからね”。

そのコードは今Githubにあり、どうやら本物のようだ。ぼくはコンパイルしていないが、ファイルにはおもしろい情報がいろいろある。教材としての利用価値は、十分にあるだろう。もちろん、悪い連中にとっても、利用価値は十分あるけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Microsoft、〈レガシー問題〉対策にクラウドを利用

Microsoftは、同社のボットネット対策グループをクラウドに移し、既知のマルウェア侵略に関する情報を準リアルタイムに提供する。Microsoftはこの新しいプログラムをインターネット事業者(ISP)や、組織内でマルウェア等の脅威を監視する任務を果たしているコンピューター緊急対応チーム(CERT)等にも利用できるようにする。

新設のサイバー脅威情報プログラム(C-TIP)は、2010年に立ち上げられたプロジェクトMARS(Microsoft Active Response for Security)を置き換える。プロジェクトMARSは、ISPやCERT向けに最新情報を定期的にメール配信していた。C-TIPでは、データとその異常を監視し、ボットネットがばらまいたマルウェアによる脅威を未然に防ぐ。

さて、Microsoftは、パソコンを犯罪者が操り悪事を働くボットへと変える攻撃者からソフトウェアを保護することを、重大事ととらえている。Microsoftデジタル犯罪対策課(テレビの犯罪ドラマで聞くような響き)のTJ Campana課長は、悪意ある攻撃はソフトウェアをアップデートしない人々にとって問題になることが非常に多い、と語った。

ソフトウェアをアップデートしない・・・うーむ・・・それはクラウドの利点だよね?

これは、新しいクラウドインフラを使って旧システムを安全に保つというニュースだ。レガシー問題が、クラウドのもたらす強大なデータコンピューティングと分析能力によって対応されている。

しかし本当のより現代的問題はデスクトップパソコンが攻撃されることではない。問題はモバイル端末であり、どうやってこれをサイバー犯罪者が繰り出す脅威から守るかだ。

何千万何億という人々がMicrosoftのソフトウェアを使っている。従来セキュリティーは、企業の周囲に塀を張りめぐらして、ソフトウェアやコンピューターを安全に保つことだった。

今人々に必要なのは、自分たちのデータを守るための健全な習慣と予防措置である。この努力が集団を保護するために役立つ。しかし新しい戦いはデスクトップ上にはない。それはデータが流れるクラウドや何十億台ものデバイスの中で起きている。

[原文へ]

(翻訳:Nob Takahashi)


全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている

本誌TechCrunchのように、WordPressを使ってサイトを構成しているところは、管理/編集ページにアクセスする人たちのパスワードが“強いパスワード”であることを、あらためて確認しよう。そしてユーザ名が、”admin”であってはいけないHostGatorCloudFlareからの報告によると、今、WordPressを使っているブログに対する大規模無差別攻撃が行われている。その大半は辞書を使用する力ずくの攻撃で、とくにWordPressがデフォルトで設定する”admin”アカウントのパスワードを見つけようとする。

HostGatorの分析によると、これは高度に組織化された、そして広範囲に分散した攻撃だ。同社の見積もりでは、今のところ約9万のIPアドレスが使われている。CloudFlareのファウンダでCEOのMatthew Princeが今朝語ったところによると、ハッカーたちは約10万のボットをコントロールしている。CloudFlareが実際に見たところによると、攻撃は相手を選ばずで、特定の種類のサイトに偏ってはいない。

知らない人に自分のパスワードを当てられるのも迷惑だが、犯人たちの最終目的はサーバを乗っ取ることだ。CloudFlareの説によると、犯人は現在、比較的ローパワーなホームPCのネットワークを使っているが、そのねらいは“強力なサーバによる大きなボットネットを作って次の攻撃に備える”ことだ、という。ホームPCは、大規模なDoS攻撃の舞台にもなる。しかしサーバを乗っ取って利用すれば、さらに強力な攻撃が可能だ。

今行われている攻撃は、同じくWordPressのサイトをねらった2012年の攻撃に似ている。でもそのときの攻撃は、古いバージョンのTimThumbを探した。これはWordPressのテンプレートの多くがデフォルトで使っている、PHPによる画像のサイズ変更ソフトだ。

CloudFlareとHostGator、およびそのほかのホスティングプロバイダの多くが、顧客を保護するための適切な措置をすでに講じている。強力なパスワードを選ぶことはつねに重要だが、いろいろWordPressプラグインをインストールして、同じIPアドレスや同じネットワークからのログイン回数を制限し、こういう力づくの攻撃を防ぐこともできる。ただしWordPressのファウンダMatt Mullenwegは彼の今日の午後のブログ記事で、ユーザ名を’admin’から別の…ありふれてない…ものに変えることが最良の防御だ、と言っている。犯人は9万ものIPを使っているのだから、特定は困難である、と。あなたのサイトがもしもWordPressを使っていたら、二段階認証をonにして、セキュリティの層を厚くすることもできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


新種のボットネット「カメレオン」は、広告主に毎月600万ドルの損害を与えている

ボットネット。セキュリティー研究者にとってそれはまるでヒュドラーのようだ。凶暴な頭を1つ切り落とすたびに、切り口からまた2つ生えてくる。

つい〈一月〉前、MicrosoftとSymantecは、大量のBamitalボットネットを何とか退治したと発表した。Bamitalは偽クリックを生成して年間100万ドルもの金額を詐取したと言われている。今回出現したばかりの新種はどうなのか? 600万ドル。毎月。

ロンドン拠点のセキュリティー調査・トラフィック分析会社のSpider.ioは、このボットネットを2012年12月以来追跡している。様々な方法で身を隠すことからこれを”Chameleon”[カメレオン]と名付け、厄介な生き物の行動に関するデータを公開した。

  • “Chameleon”はおよそ12万台のコンピューターを支配していると思われる
  • ターゲットはWindowsパソコンのみと思われる
  • これまでの多くのボットネットと異なり、Chameleonはテキスト広告だけでなくグラフィックやFlashの広告も偽クリックする
  • このボットネットは月間約90億インプレッションを偽造し、約0.02%という見過ごしやすいクリック率で広告をクリックしている。
  • 感染したパソコンの約95%は家庭のパソコンである(例えばおばあちゃんの古いDell機)
  • このボットネットは毎月90億回の広告ビューから、1000ビュー当たり0.69ドルを稼いでいると推定され、これは実際には人間のいないビューに対して600万ドルが支払われたことを意味している。

膨大な数字だけでは不足とばかりに、Chameleonは検出や退治を困難にするいくつかの技を隠し持っている。無人でページをサーフィンする際、ページ内でマウスをあちこち動かす。このためロボット風の不審な動きを監視する不正検出システムから逃れやすい。訪問者ごとに常に複数の並行セッションを走らせ、スレーブセッションがクラッシュするとすぐ自動的にリスタートする。

Spider.ioによると、Chameleonは202箇所のウェブサイトを主な活動場所にしている。どの202箇所かは公開されていない。恐らく、それらのサイトのどれかあるいは全部が、実際にはそうでなくても、グルであることを暗示することになるためと思われる。これを使って利益を得られる(あるいは、ただ自分の技術力を誇示するため巧妙なボットネットを書く)〈誰でも〉に、仕掛人である可能性がある。

幸いSpider.ioは、最もアクティブな感染パソコン5000台と同社が呼ぶリストを解明した。しかし残念ながら、120,000から増え続ける中の5000である。SYMANTECよ、われらを救いたまえ。

[写真提供:D. Richard Hipp on Flickr under creative commons]

[原文へ]

(翻訳:Nob Takahashi)