March 23, 2017

攻撃を仕掛けてきたMirai BotNetに感染した端末

攻撃を仕掛けてきたMirai BotNetに感染した端末

前回の「日本におけるMirai BotNet」で紹介した攻撃元について、更に突っ込んだ調査を行ってみた。攻撃元端末の情報は次のとおりである。

No. IPアドレス 端末 TCP/UDPポート
1 106.166.193.XX QNAP NAS 21 80 443
2 111.100.153.XX BitTorrent使用機器 6889
3 113.158.61.XXX QNAP NAS 21 22 80 443 873 1723 8080 8081
5 120.51.100.XX ELECOM製機器 53 7777 8080
6 183.180.76.XXX ELECOM製機器 53 8080
7 202.215.132.XXX QNAP NAS 80 443 1723
8 153.145.139.XX ELECOM製機器 53 7777 8080
10 153.231.161.XX ELECOM製機器 53 7777 8080
12 54.238.249.XXX AWS EC2 Ubuntu 14.04 22 80
13 119.229.121.XX QNAP NAS 21 22
14 218.42.252.XXX IP Camera 80
17 27.54.125.XXX QNAP NAS 21 22 80 137 445 631 873 3310 5353 8080 8081 9000 38324 40227 49152 49153
18 126.114.210.XX - 80 554 1900 49152
21 202.143.199.XXX 監視装置 21 23
22 222.231.84.XXX QNAP NAS 53

QNAP製のNASおよびELECOM製機器が多い。この中から17および21をもう少し掘り下げてみる。

17の27.54.125.XXXについて、端末はQNAP NAPであり外部に公開しているポートが多いことが特徴である。

QNAP NASログイン画面

445/tcpも空いており、SMBで共有しているディスクが外部にも公開されているようである。

Sharename       Type      Comment
---------       ----      -------
IPC$            IPC       IPC Service (NAS Server)
USBDisk1        Disk      USB storage share
home            Disk      Home
バックアップ      Disk      PCのバックアップ
SCAN            Disk      
SHARE           Disk      
Network Recycle Bin 1 Disk      [RAID5 Disk Volume: Drive 1 2 3 4]

Server               Comment
---------            -------

Workgroup            Master
---------            -------

今時外部に向けてこれだけ公開されているのは珍しくわざとらしい気もするが、Miraiに感染していると疑われる端末でもあり、このNASを使用している人物が外部に公開する設定にしていると判断するのが妥当である。

つぎに21の202.143.199.XXXついてだが、感染していると疑われる端末は監視装置である。端末としてはCATVで使用される信号を監視する装置なのだが、おそらく、外部接続のために通信関連のモジュールとしてARMベースのLinuxが組み込まれているようである。

ARMベースのLinux

そのモジュールに感染しているのではないかと考えられる。このモジュールに関してはベースとなるものがIoT機器プラットフォームとして販売されており、また技術情報も公開されている。

ちなみに、この感染している端末が使用しているLinuxカーネルのバージョンは2.6.26である。ということはCVE-2016-5195を始めとした脆弱性の影響を受ける可能性もあり、危険な匂いがする。

© 2014-2017 magiauk.