www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(32)「Wireless Routerの管理画面におけるOSコマンドインジェクション」

どうも。ハニーポッターの森久です。

ここ数日で、ZyXEL 社の Eir D1000 Wireless Router の管理画面における、OS コマンドインジェクションを狙った攻撃の検知が急増しました。

※一部の情報を意図的に伏せています。POST 部分は見やすいように改行を入れています。

HTTP の POST リクエストですが、宛先ポートは 7547/tcp でした。このポートはTR-069と呼ばれるリモートから設定変更するために利用されるサービスポートです。
また NTP サーバの設定情報に OS コマンドをインジェクションしている点から、2016年11月初旬に公開された攻撃コードを利用していると見受けられます。

実行される OS コマンドは、外部からファイルをダウロードし、実行する内容です。ダウロードされるファイルは下記のようです。

SHA256: ff47ff97021c27c058bbbdc9d327b9926e02e48145a4c6ea2abfdb036d992557
VirusTotal の検出結果

どうやら Linux 環境で感染する Mirai マルウェアの亜種と考えられます。Mirai は DDoS 攻撃に悪用されることで悪名名高いマルウェアです。

 

この記事を書いている時点で、2・3分に1回以上の攻撃が来ています。攻撃の送信元がバラバラなので、現在進行形で感染拡大活動中の模様。

ご利用中の方はご注意ください。また可能であれば、当該ポートへのアクセスを禁止したり、管理インタフェースをインターネットに公開しないように設定することをご検討ください。

 

追伸
今回の記事とは直接関係ありませんが、近々、みなさまのお役に立てる(と思う)情報を公開できそうです。

 

参考情報

Eir’s D1000 Modem Is Wide Open To Being Hacked.(Reverse Engineering Blog)
https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/

JVNTA#95530271 Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威(JPCERT/CC)
http://jvn.jp/ta/JVNTA95530271/

 

Written by morihisa

11月 28th, 2016 at 1:22 am