THE ZERO/ONEが文春新書に!『闇ウェブ(ダークウェブ)』発売中
発刊:2016年7月21日(文藝春秋)
麻薬、児童ポルノ、偽造パスポート、偽札、個人情報、サイバー攻撃、殺人請負、武器……「秘匿通信技術」と「ビットコイン」が生みだしたサイバー空間の深海にうごめく「無法地帯」の驚愕の実態! 自分の家族や会社を守るための必読書。
Webカメラハッキングツールに仕込まれた「罠」
November 15, 2017 08:00
by 『Security Affairs』
ハッカー初心者は無料のハッキングツールを利用する際は気をつけてほしい。それらの多くはペテンだからだ。ここ最近、セキュリティ専門家たちは「バックドアがこっそり仕込まれた偽のハッキングツール」の事例を何度か報告していた。たとえば偽物のFacebookハッキングツールやCobian RATなどだ。
そして今回、NewSky Securityのセキュリティ研究者Ankit Anubhavは、「バックドアが仕掛けられた新たなツール」がいくつかの地下ハッキングフォーラムで提供されているのを発見した。このハッキングツールは、脆弱なバージョンの組み込み型「GoAhead WebServer」を利用している、脆弱なIPカメラをインターネットでスキャンすることができる、無料のPHPスクリプトだ。
「脆弱なバージョンの組み込み型GoAhead WebServerを採用しているIoTデバイスが、地下のフォーラムで注目を集めている。これは『CVE-2017-8225などの脆弱性を悪用してハッキングできるIPカメラ』が多数出回っていることが原因であり、ボットネット『IoTroop/Reaper』はすでに、この脆弱性を活用している」と、Anubhavはブログ記事で述べている。
「我々は2017年10月22日に、とあるサイト(いかがわしいながらも人気があり、IoTボットネットのスクリプトを提供することもあるサイト)で新たなコードが提供されているのを発見した。この『NEW IPCAM EXPLOIT』と名付けられたスクリプトは、スクリプトキディたちに『脆弱な組み込み型のGoAhead WebServerを利用している可能性のあるIoTデバイス』を見つけさせ、楽にハッキングができるようにすると宣伝していた」
AnubhavがNEW IPCAM EXPLOITを分析したところ、このツールには「利用したワナビーの犯罪者たち」をハッキングするコードが含まれていた。つまりスクリプトキディがボットネットを所有して、ペテン師たちがそれを乗っ取るために、このツールは利用されるということになる。
NEW IPCAM EXPLOITは「GoAhead-Webs」というバナーをチェックして、組み込みのGoAhead WebServerを使用するデバイスをスキャンする。そのスクリプトの最後には、シェルスクリプトを利用したバックドアのスクリプトがあった。それは悪意を持ったサーバーに接続して第二段階のスクリプトをダウンロードし、実行するものであった。
NEW IPCAM EXPLOITの「IoTスキャン」のスクリプトは、4つのステップで働く
(1)このスクリプトは、認証バイパスの脆弱性「CVE-2017-8225」の影響を受けるGoAhead WebServerを求めてIPアドレスをスキャンする。この脆弱性は、ワイヤレスIPカメラ(P2P)無線LANカメラ・デバイスに影響するものだ。
(2)このスクリプトは、ワナビーのサイバー犯罪者たちのシステム上に、ユーザーアカウント(ユーザー名:VM、パスワード:Meme123)を作成して、隠されたバックドアを確立する。そのペテン師は、被害者と同じ権限を得ることになる。
(3)感染したシステムにリモートアクセスするため、このスクリプトはワナビーのハッカーのIPアドレスを確認する。
(4)このスクリプトは被害者のシステム上で「第2のペイロード」を実行し、場合によってはKaitenボットをインストールする。
より詳しい調査を行った『Bleeping computers』の専門家たちは、このスクリプトの作者が以前にも「バックドアの仕掛けられたハッキングツール」をオンラインに公開していたことを報告した。
「このバックドアの作成者が利用している複数のIDを詳しく調査した。その結果、この人物がバックドアの仕掛けられたマルウェアを公開したり、他のハッカーたちとオンラインで争ったりしたのは今回が初めてではない、ということも判明した。だからこそAnubhavは、そのハッカーの名前で特定したファイルを発見したのかもしれない」とBleepingcomputerは報告している。
翻訳:編集部
原文:Hack the hackers. Watcha out the NEW IPCAM EXPLOIT, it is a scam!
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。
ニュースのポイント(THE ZERO/ONE編集部より)
今年の9月に掲載した、SecurityAffairsの記事「ダークウェブに巣食う「クロサギ」 闇市場で売られているRAT「Cobian」にバックドア」と同様に、サイバー犯罪者を狙った「攻撃ツールにマルウェア」が仕込まれていた事件だ。
SecurityAffairsの記事では触れていないがAnubhav氏のブログには、攻撃者視点で考えるとスクリプトキディ(=自分ではプログラムを書けず、他人が書いたプログラムを使いサイバー攻撃やイタズラする輩の俗称)をターゲットにするのは効率的だ、と述べている。なぜならIoTカメラのハッキングツールに興味があるスクリプトキディであれば、サイバー攻撃に利用する素材や管理しているボットネットワークの認証情報、漏洩データなどを持っている可能性が高いためだ。今回のマルウェアにうまく感染させれば、スクリプトキディが利用しているボットネットを、攻撃者が自由にコントロールすることができる。
筆者がハッキングフォーラムを観察していると、スクリプトキディやハッキングに興味がある初心者は、好奇心が強いユーザーが多いように感じる。彼らは他のユーザーから紹介されたハッキングツールを試して、その感想や質問を書き込んでいる。外部から見ているとハラハラする行為だが、彼らは試さずにはいられないのだろう。攻撃者にとって価値が高いデジタル資産も所持しているスクリプトキディは、ますます狙われ続けるだろう。
『Security Affairs』
イタリアのセキュリティ専門家、Pierluigi Paganini氏が主宰するセキュリティ・ニュースサイト。
http://securityaffairs.co/wordpress/
Twitter @securityaffairs
Security Affairs on Facebook
Security Affairs on Google+
Security Affairs on Pinterest
Must Popular
-
1
日本人マルウェア開発者インタビュー(前編)プログラムの「悪意」とは
October 26, 2017
2
日本人マルウェア開発者インタビュー(後編)攻撃者が考える「良いセキュリティ専門家」とは?
October 27, 2017
3
PacSec 2017レポートソフトバンクPepperが危険な理由
November 10, 2017
4
中国でデータ通信専用SIMが1日35万枚も売れている理由
September 11, 2017
5
IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」
October 18, 2017
-
6
Apple IDの漏洩元はアップルの業務委託先企業
September 25, 2017
7
スウェーデンの交通機関がDDoS攻撃を受け運航不能に陥る
October 25, 2017
8
中国でビットコイン採掘が活発な理由
October 30, 2017
9
こっそり仮想通貨をマイニングする侵入者たち
October 20, 2017
10
46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?
September 15, 2017
