Tag Archives: Internet of Things

IoT Worm Used to Mine Cryptocurrency

      No Comments on IoT Worm Used to Mine Cryptocurrency


Last November, we found an Internet of Things (IoT) worm named Linux.Darlloz. The worm targets computers running Intel x86 architectures. Not only that, but the worm also focuses on devices running the ARM, MIPS and PowerPC architectures, which are usually found on routers and set-top boxes. Since the initial discovery of Linux.Darlloz, we have found a new variant of the worm in mid-January. According to our analysis, the author of the worm continuously updates the code and adds new features, particularly focusing on making money with the worm.

By scanning the entire Internet IP address space in February, we found that there were more than 31,000 devices infected with Linux.Darlloz.

Coin mining
In addition, we have discovered the current purpose of the worm is to mine cryptocurrencies. Once a computer running Intel architecture is infected with the new variant, the worm installs cpuminer, an open source coin mining software. The worm then starts mining Mincoins or Dogecoins on infected computers.  By the end of February 2014, the attacker mined 42,438 Dogecoins (approximately US$46 at the time of writing) and 282 Mincoins (approximately US$150 at the time of writing). These amounts are relatively low for the average cybercrime activity so, we expect the attacker to continue to evolve their threat for increased monetization.

The worm’s new coin mining feature only affects computers running the Intel x86 architecture and we haven’t seen it impact IoT devices. These devices typically require more memory and a powerful CPU for coin mining. 

Why Mincoin and Dogecoin?
The worm appears to aim at mining Mincoins and Dogecoins, rather than focusing on the well-known and more valuable cryptocurrency Bitcoin. The reason for this is Mincoin and Dogecoin use the scrypt algorithm, which can still mine successfully on home PCs whereas Bitcoin requires custom ASIC chips to be profitable.

New targets
The initial version of Darlloz has nine combinations of user names and passwords for routers and set-top boxes. The latest version now has 13 of these login credential combinations, which also work for IP cameras, typically used for remote monitoring of premises.

Why IoT devices?
The Internet of Things is all about connected devices of all types. While many users may ensure that their computers are secure from attack, users may not realize that their IoT devices need to be protected too. Unlike regular computers, a lot of IoT devices ship with a default user name and password and many users may not have changed these. As a result, the use of default user names and passwords is one of the top attack vectors against IoT devices. Many of these devices also contain unpatched vulnerabilities users are unaware of.

While this particular threat focuses on computers, routers, set-top boxes and IP cameras, the worm could be updated to target other IoT devices in the future, such as home automation devices and wearable technology.

Blocking other attackers
As described in a previous blog, the worm prevents other attackers or worms, such as Linux.Aidra, from targeting devices already compromised with Linux.Darlloz. The malware author implemented this feature into the worm when it was released last November.

In early January, there were reports about a back door on a number of routers. By using the back door, remote attackers could gain access to the routers, allowing them to compromise the user’s network. For Darlloz’ author, this represented a threat, so they implemented a feature to block the access to the back door port by creating a new firewall rule on infected devices to ensure that no other attackers can get in through the same back door.

Infections in the wild
Once a device is infected, Darlloz starts a HTTP Web server on port 58455 in order to spread. The server hosts worm files and lets anyone download files through this port by using a HTTP GET request. We searched for IP addresses that open this port and host Darlloz files on static paths. Assuming that the Darlloz worm can be downloaded, we tried to collect OS finger prints of the host server. The following statistics give an overview of the infection.

  • There were 31,716 identified IP addresses that were infected with Darlloz.
  • Darlloz infections affected 139 regions.
  • There were 449 identified OS finger prints from infected IP addresses.
  • 43 percent of Darlloz infections compromised Intel based-computers or servers running on Linux.
  • 38 percent of Darlloz infections seem to have affected a variety of IoT devices, including routers, set-top boxes, IP cameras, and printers.


Figure 1. The top five regions with Darlloz infections

The five regions that accounted for 50 percent of all Darlloz infections were China, the US, South Korea, Taiwan and India. The reason for the high infections in these regions is most likely due to their large volumes of Internet users or the penetration of IoT devices.

Infected IoT devices
Consumers may not realize that their IoT devices could be infected with malware. As a result, this worm managed to compromise 31,000 computers and IoT devices in four months and it is still spreading. We expect that the malware author will continue to update this worm with new features as the technology landscape changes over time. Symantec will continue to keep an eye on this threat.


  • Apply security patches for all software installed on computers or IoT devices
  • Update firmware on all devices
  • Change the password from default on all devices
  • Block the connection on port 23 or 80 from outside if not required


      No Comments on ??????????????

エンターテインメントシステムなどの多数の家庭用デバイスや、さらには冷蔵庫までがスパムを送信していたという、Proofpoint 社による調査に基づいた報道をご覧になった方もいるでしょう。こうしたネットワーク対応デバイスの集まりは、「モノのインターネット(IoT)」と呼ばれています。もともと、この調査レポートには証拠が伴っていなかったため、シマンテックはその内容を裏付けることができませんでしたが、新たな詳細情報が公開されたことにより、最近のスパム攻撃が、冷蔵庫などの IoT デバイスから送信されたものではないことを確認できました。

シマンテックは、一般に公開された情報から、今回のスパムが Windows コンピュータの感染に起因する典型的なボットネットによって送信されていることを突き止めました。シマンテックは、エンドポイントセキュリティ製品、スパムを受信するハニーポット、スパム始動コマンドを待ち受けるボットネットハニーポットなど、多様なソースから遠隔測定データを受信しています。そうしたすべてのソースからスパムを追跡したところ、複数の Windows コンピュータに辿り着きましたが、その一部は W32.Waledac(Kelihos)に感染していました。このスパムが Windows 以外のコンピュータシステムから発信された例は今までになく、使途不明の大量スパムが他のソースから発信されていることも確認されていません。

今回の冷蔵庫は無実でしたが、IoT デバイスからのスパム送信がありえないというわけではありません。シマンテックは最近、IoT に対する初めての脅威である Linux.Darlloz を発見しました。Linux.Darlloz は、ルーター、カメラ、エンターテインメントシステムといった Linux ベースの IoT デバイスに感染します。Darlloz で注目すべき点は、IoT デバイスに感染するだけでなく、Linux.Aidra という別の脅威との間でワーム戦争を巻き起こしていることです。Darlloz は、デバイスが Aidra に感染しているかどうかを確認し、感染している場合にはそのデバイスから Aidra を削除します。

これは、ワーム作成者が IoT という縄張りを争っていることが確認された初めての例であり、2004 年のワーム戦争を連想させます。対象となるデバイスの処理能力もメモリも限られていることを考えると、同様の縄張り争いは今後も起きると予想されます。

IoT デバイスを狙うマルウェアはまだ生まれたばかりですが、IoT デバイスはさまざまなセキュリティ問題に影響されやすいという性質を持っています。したがって、近い将来に冷蔵庫が本当にスパムを送信し始めたとしても、驚くほどのことではありません。PC の場合と同様に、IoT デバイス上のソフトウェアも最新の状態に保ち、ルーターの内側にデバイスを置いて、デフォルトのパスワードはすべて安全性の高いパスワードに変更してください。


あいにく、インターネット上の実際の物理デバイスについて製造元やモデルを特定することは容易ではありません。多くの家庭用デバイスはホームルーターの内側に置かれており、ネットワークアドレス変換(NAT)を利用しています。外部から見ると、ルーターの内側に置かれているデバイスはすべて同じ IP アドレスを共有しているため、ネットワークトラフィックの本来のソースが、ルーターの内側に置かれているデバイスなのか、またはルーター自体なのかを判断するのは困難です。しかも、ルーターで開いているポートを調べる場合、ルーターがポート転送を採用していると、ルーターの内側に置かれている 1 つ以上のデバイスが公開されることがあります。たとえば、外出中にテレビ番組を録画できるようにインターネットを介してデジタルビデオレコーダーにアクセスする用途など、家庭用デバイスへのリモートアクセスが可能なようにルーター上でポート転送が有効になっている場合があります。その場合、ルーターが存在していることさえ気付かず、公開されたデバイスだけがその IP アドレスを使っている唯一のデバイスだと思い込んでしまう恐れがあります。

Refrigerator Spam 1.png

図. 見た目と実際は同じではない

今回の場合、マルウェアに感染したコンピュータは、エンターテインメントシステムや冷蔵庫のような他の家庭用デバイスと同様、ホームルーターの内側に置かれていました。感染したコンピュータがボットコントローラから新しいスパムテンプレートを受け取ると、スパムはルーターを通過し、特定の IP アドレスから送られたように見えます。その IP アドレスを調べると、感染したコンピュータには到達せず、ルーターに辿り着きます。

また、冷蔵庫がポート転送という機能を使っていて、誰かがポート 80 で IP アドレスに接続する場合、そのトラフィックはスマート冷蔵庫に到達できることになります。外部から見ると、目に見えているのは冷蔵庫だけで、そこにルーターが存在していることや、感染したコンピュータなどその他の多くのデバイスがルーターの内側に存在する可能性に気付かないかもしれません。こうした誤解こそ、冷蔵庫がスパムを送信していたと報告された理由なのです。事実としては、冷蔵庫が、感染したコンピュータとたまたま同じネットワーク上にあったに過ぎません。

今回どのような経緯で誤解が生じたかを検証するために、シマンテックは Waledac に感染したコンピュータのパブリック IP アドレスを調べました。予想どおり、検証で何度も最終的にエンターテインメントシステムやその他の家庭用デバイスに到達しましたが、それらはたまたまルーターを介して公開され、Waledac に感染したコンピュータと同じネットワークを共有していただけでした。

今回 IoT デバイスの罪は晴れましたが、将来的にはスパム送信の元凶となる恐れがあると思われます。


* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Despite the News, Your Refrigerator is Not Yet Sending Spam

You may have seen media reports based on research by Proofpoint that hundreds of home devices such as entertainment systems and even a refrigerator had been sending spam. We refer to this collection of networked devices as the Internet of Things (IoT). Originally, the reports didn’t provide any evidence so we were unable to validate the claim. However, additional details have now been made available and we can confirm that your IoT devices, including your refrigerator, are not the source of this recent spam run.

From the information that was publicly provided, we have been able to determine that this specific spam run is being sent by a typical botnet resulting from a Windows computer infection. Symantec receives telemetry from a wide variety of sources including our endpoint security products, spam receiving honeypots, and botnet honeypots that await spam-initiating commands. All of these sources traced the spam to multiple Windows computers, some of which were verified to be infected with W32.Waledac (Kelihos). We have not seen this spam originate from any non-Windows computer systems and do not see any unaccounted volume of spam that may originate from other sources.

Even though the refrigerator was innocent, having IoT devices send spam isn’t impossible. Recently, we uncovered one of the first and most interesting IoT threats, Linux.Darlloz, which infects Linux-based IoT devices such as routers, cameras, and entertainment systems. Beyond its ability to infect IoT devices, what makes Darlloz interesting is that it is involved in a worm war with another threat known as Linux.Aidra. Darlloz checks if a device is infected with Aidra and if found, removes it from the device.

This is the first time we’ve seen worm writers fight an IoT turf war and is reminiscent of the 2004 worm wars. Considering these devices have limited processing power and memory, we’d expect to see similar turf battles in the future.

While malware for IoT devices is still in its infancy, IoT devices are susceptible to a wide range of security concerns. So don’t be surprised if, in the near future, your refrigerator actually does start sending spam. As with any computer system, keep the software on IoT devices up-to-date, place them securely behind a router, and change all default passwords to something more secure.

So, how did others incorrectly come to the conclusion that our refrigerators had gone rogue and started to send spam?

Unfortunately, confirming the make and model of an actual physical device on the Internet isn’t that easy. Many home devices sit behind a home router and use Network Address Translation (NAT). From the view point of an outsider, all the devices behind that router share the same IP address. This makes it difficult to determine whether a device behind the router or the router itself was the original source of the network traffic. Furthermore, if you probe the router for open ports the router may employ port forwarding, exposing one or more devices behind the router. You could be fooled into not even realizing a router is there and think that the exposed device is the sole device using that IP address.

Refrigerator Spam 1.png

Figure. What you see is not what you have

In this particular case, you have computers infected with malware sitting behind a home router along with a variety of other home devices, like an entertainment system or even a refrigerator. When the infected computer receives a new spam template from the bot controller, the spam will travel through the router and appear from a particular IP address. If you probe that IP address, instead of reaching the infected computer you will reach the router.

In addition, if your refrigerator uses a feature known as port forwarding and someone contacts the IP address on port 80, that traffic is allowed to reach your smart refrigerator. Viewed from outside, all you will see is the refrigerator and you may not even realize there is a router with potentially many other devices behind it, such as an infected computer. This misunderstanding was what led to reports of refrigerators sending spam. The truth is that those refrigerators just happened to be on the same network as an infected computer.

To validate how someone might be misled, we probed the public IP address of a Waledac infected computer. As expected, in many cases we ended up reaching entertainment systems and other home devices that happened to be exposed through the router and were just sharing the same network as a Waledac-infected computer.

So while IoT devices weren’t to blame this time, we expect they probably will be to blame in the future.

??????????: ???????????????????????

      No Comments on ??????????: ???????????????????????

Internet of Things Header.jpg





Linux ワーム

モノのインターネットはまだ生まれたばかりですが、脅威はすでに存在しています。たとえば、シマンテックの研究員である林薫は最近、Linux オペレーティングシステムが稼働しているコンピュータを標的にする新しいワームを発見しました。Linux に触れたことがある人は多くないかもしれませんが、Linux はビジネスの世界では大きな役割を果たしており、Web サーバーやメインフレームなどの運用に広く利用されています。

このワーム Linux.Darlloz に、当初それほど特異な点があるようには見えませんでした。Linux.Darlloz は、スクリプト言語 PHP に古くから存在する脆弱性を利用してコンピュータにアクセスし、一般によく使われている一連のユーザー名とパスワードを組み合わせて管理者権限の取得を試みたうえ、他のコンピュータを検索して自身を拡散します。侵入先のコンピュータでバックドアを開くので、攻撃者はそのコンピュータに対してコマンドを発行できるようになります。

このワームが悪用していたのは PHP の古い脆弱性であり、拡散するためにはパッチが適用されていないコンピュータを見つけなければなりません。機能がこれだけであれば特筆すべき点は何もありませんが、林がさらに Linux.Darlloz を調べた結果、興味深い事実が判明しました。実際に活動が確認されたバージョンは、PC やサーバーで広く使われている Intel x86 系のチップアーキテクチャを採用したコンピュータのみに感染するように設計されていましたが、その後、そのワームと同じサーバー上で、ARM、PPC、MIPS、MIPSEL の各チップアーキテクチャ用に設計されたバージョンがホストされていることが確認されました。これらのアーキテクチャのほとんどは、ホームルーター、セットトップボックス、防犯カメラといったデバイスや産業用制御システムで利用されています。つまり、攻撃者はいつでも、これらのデバイスに対する攻撃を開始できる状態だったことになります。

このワームの機能で注目に値するのが、Linux.Aidra という他の Linux ワームが存在しないかスキャンすることです。このワームに関連付けられているファイルが見つかると、Linux.Darlloz はそれらを削除しようとします。また、Linux.Aidra が使う通信ポートも遮断しようとします。他のワームを削除している背景に利他的な動機はありません。おそらく Linux.Darlloz を操る攻撃者は、Linux.Aidra に感染するようなデバイスはメモリも処理能力も制限されていることを知っており、そうしたリソースを他のマルウェアに使われたくはないと考えたのでしょう。

Linux.Darlloz が駆逐しようとしている Linux.Aidra 自体も、同じ新世代を代表する脅威です。シマンテックが発見した Darlloz の一部の亜種と同様に、Linux.Aidra は小型デバイス、具体的にはケーブルモデムや DSL モデムを標的にします。Linux.Aidra が小型デバイスをボットネットに追加すると、攻撃者はそれを利用して分散サービス拒否(DDoS)攻撃を実行できます。Darlloz の作成者が誰であれ、すでに感染が広がっている Aidra が Darlloz にとって脅威になる可能性があると判断したことは明らかです。



Linux.Darlloz も、モノのインターネットを取り巻くセキュリティ上の新たな脅威が際立った一連の事案のうち、最新の一例にすぎません。今年に入ってすぐ、米国連邦取引委員会は TRENDnet 社に対する訴えを和解で解決しました。同社は、インターネット対応の防犯カメラとベビーモニターを製造しているメーカーです。TRENDnet 社は安全性を謳って製品を販売していましたが、「実際には、同社のカメラはソフトウェアに問題があったため、カメラのインターネットアドレスさえわかればオンラインで自由な閲覧と、場合によっては傍聴も可能な状態だった。そのような欠陥があるため、数百人もの消費者のプライベートなカメラ映像がインターネット上で公開されるに至った」と FTC は指摘しています。

2012 年 1 月にあるブロガーがこの欠陥を公表したところ、700 台近いカメラのライブ映像のリンクが公開されてしまいました。「映像には、ベビーベッドで眠っている乳児や遊んでいる子どもの姿だけでなく、大人の日常生活まで写っていた」と FTC は述べています。FTC との調停の一環として、TRENDnet 社はデバイスのセキュリティ強化を余儀なくされ、今後の販促資料でセキュリティについて誤解がないよう図る旨を確約しました。

TRENDnet 社の事案で特筆すべきなのは、標的となったデバイスが何のマルウェアにも感染していなかったという点です。セキュリティ設定が原因で、方法さえわかれば誰でもアクセスできる状態になっていただけです。しかも、事案はこれだけで終わってはいません。今では、インターネット対応のさまざまなデバイスを検索できる SHODAN という検索エンジンまで登場しています。

SHODAN が検索するのは、Web サイトではなくモノです。防犯カメラなどの家庭用デバイスだけでなく、ビルの暖房制御システム、水処理プラント、自動車、信号、胎児の心音モニター、発電所の制御系まで検索することができます。SHODAN で検索できたからといって、必ずしもそのデバイスが脆弱であるとは限りませんが、このようなサービスがあれば、攻撃者は脆弱性の存在をつかんでいるデバイスをさらに容易に発見できるようになります。


懸念されるのは、セキュリティ上の脆弱性だけではありません。インターネット対応のテレビは今やごく一般的であり、ストリーミングビデオサービスや Web ブラウザなど便利な付加機能が豊富に用意されています。電子機器メーカーの LG 社は最近、同社のテレビのうち一部のモデルがユーザーの視聴状況を追跡し、集計データを同社に送信していることを認めました。LG 社は、ユーザーに提供する広告をカスタマイズすることが目的であると説明しましたが、この機能がオフになっていてもデータが収集され続けたことについては、システムに問題があったためとしています。同社によると、この問題を修正するファームウェア更新は現在準備中です。

Internet of Things 1.png

図 1. 全世界のインターネット対応デバイスの増加予測(出典: Cisco 社)

モノのインターネットは、依然として黎明期にありますが、インターネット対応のデバイスは爆発的に増えつつあります。Cisco 社によれば、地球上には現在 100 億台を超えるインターネット対応デバイスが存在しています。世界の人口は 70 億を少し超えたところなので、今や人間の数よりインターネット対応デバイスのほうが多いということです。インターネット対応デバイスの数を記録してきた Cisco 社は、その数が 2020 年までに 500 億に達すると予測しています。注目すべきは、その増加のうちほぼ半数が、予測期間の最後の 3 年間に集中していることです。

これまでにも、さまざまな種類のインターネット対応デバイスが登場しています。たとえば、ただのサーモスタットでさえ今では Web 対応です。電球も同様で、スマートフォンで照明を調節できるようになりました。自動車業界もこの動向に大きく注目しており、リアルタイム情報のストリームを受信できるインターネット対応車の開発を確約しています

これほどの爆発的な増加をもたらしている要因は何でしょうか。簡単に言うと、インターネット上に「余裕」が生まれ、デバイスの製造原価が下がり続けていることです。インターネットに接続されるどのデバイスも、他のデバイスと通信するためにはアドレスが必要です。これが、いわゆるインターネットプロトコル(IP)アドレスです。現行の IP アドレスシステムである IPv4(Internet Protocol Version 4)で使用できるアドレスはほぼ枯渇しており、現在は新しい IPv6 の採用が進んでいるところです。IPv6 では IP アドレスの数が膨大になり、地球上の 1 人 1 人に何十億もの IP アドレスを割り当てることができます。

その他の規格も進化が進んでいます。たとえば、無線通信の Bluetooth 規格を管理している業界団体は最近、Bluetooth の最新版を発表しました。同団体によれば、Bluetooth はモノのインターネットの発展も考慮に入れて進化しています。新しい Bluetooth 規格では、環境がますます輻輳する中でデバイス間の検出と通信が今より容易になるとされています。また、Bluetooth 対応のデバイスが IPv6 規格のインターネットにリンクするのも簡単になります。

このようにネットワーク空間が広がるとともに、インターネット対応デバイスの製造も容易になりつつあります。広く知られているとおり、ムーアの法則によればプロセッサの処理能力は 2 年ごとに 2 倍になります。必然的に、処理能力の低いチップは製造原価が常に安くなっていきます。Wi-Fi チップセットなど他の技術も、ここ数年で価格が大幅に下がっています。こうした要因がすべて重なり合った結果、インターネット対応デバイスの製造は容易に、しかも安価になっているのです。


  • 所有しているデバイスの点検を実施してください。デバイスに画面やキーボードがないからといって、攻撃に対して脆弱でないとは言えません。
  • 所有しているデバイスがホームネットワークに接続されている場合には、インターネットを介してアクセスできる可能性があり、保護することが必要です。
  • デバイスを購入したときには、そのセキュリティ設定に注意を払ってください。リモートアクセスが可能であれば、必要でない限り無効にします。デフォルトのパスワードは自分しか知らないパスワードに変更し、「123456」や「password」といった誰でも簡単に推測できるパスワードは使わないでください。文字、数字、記号を組み合わせて長くすれば、パスワードの強度が上がります。
  • 製造元の Web サイトを定期的にチェックして、デバイスのソフトウェアの更新版がないかどうか確認してください。セキュリティ上の脆弱性が見つかった場合、通常は、脆弱性を解決する新しいソフトウェア更新が製造元から公開されます。



* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Internet of Things: New Threats Emerge in a Connected World

Internet of Things Header.jpg

Could your baby monitor be used to spy on you? Is your television keeping tabs on your viewing habits? Is it possible for your car to be hacked by malicious attackers? Or could a perfectly innocent looking device like a set-top box or Internet router be used as the gateway to gain access to your home computer?

A growing number of devices are becoming the focus of security threats as the Internet of Things (IoT) becomes a reality. What is the Internet of Things? Essentially, we are moving into an era when it isn’t just computers that are connected to the Internet. Household appliances, security systems, home heating and lighting, and even cars are all becoming Internet-enabled. The grand vision is of a world where almost anything can be connected—hence the Internet of Things.

Exciting new developments are in the offing. A connected home could allow you to logon to your home network before you leave work in the evening to turn on your central heating and your oven. If your alarm goes off while you are out in the evening, you could logon to your home security system from your smartphone, check your security cameras and reset your alarm if there isn’t a problem.

Unfortunately, every new technological development usually comes with a new set of security threats. Most consumers are now very aware that their computer could be targeted with malware. There is also growing awareness that the new generation of smartphones are also vulnerable to attack. However, few people are aware of the threat to other devices.

Linux worm

The Internet of Things may be in its infancy but threats already exist. For example, Symantec investigator Kaoru Hayashi recently discovered a new worm that targeted computers running the Linux operating system. Most people have probably never come across Linux, but it plays a big role in the business world and is widely used to run Web servers and mainframes for example.

The worm, Linux.Darlloz, initially appeared to be nothing out of the ordinary. It utilizes an old vulnerability in scripting language PHP to gain access to a computer; attempts to gain administrative privileges by trying a series of commonly-used usernames and passwords and propagates itself by searching for other computers. The worm leaves a back door on the infected computer, allowing the attacker to issue commands to it.

Since the worm exploits an old vulnerability in PHP, the threat relies on finding computers that haven’t been patched in order to spread. If this was all that the worm did, it would be fairly unremarkable. However, as Kaoru investigated the threat further, he discovered something interesting. The version circulating in the wild was designed to infect only computers running Intel x86 chip architectures, which are usually found on personal computers and servers. Kaoru then discovered versions designed for the ARM, PPC, MIPS and MIPSEL chip architectures hosted on the same server as the original worm. These architectures are mostly found in devices such as home routers, set-top boxes, security cameras and industrial control systems. The attacker was in a position to begin attack these devices at a time of their choosing.

One of the interesting things this worm does is scan for instances of another Linux worm, known as Linux.Aidra. If it finds any files associated with this threat, it attempts to delete them. The worm also attempts to block the communications port used by Linux.Aidra. There is no altruistic motive behind removal of the other worm. The likelihood is that the attacker behind Linux.Darlloz knows that the kinds of devices infected by Linux.Aidra have limited memory and processing power, and does not want to share them with any other piece of malware. 

Linux.Aidra, the malware that Linux.Darlloz attempts usurp, also exemplifies this new generation of threats. Like some of the variants of Darlloz discovered by Symantec, Linux.Aidra targets smaller devices, specifically cable and DSL modems. The worm adds them to a botnet, which can be utilized by the attackers to perform distributed denial-of-service (DDoS) attacks. Whoever authored Darlloz obviously believed that Aidra infections were so widespread that it posed a potential threat to their own malware.

What is particularly worrisome about these kinds of threat is that, in many instances, the end-user may have no idea that their device is running an operating system that could be attacked. The software is, by and large, hidden away on the device. Another potential issue is that some vendors don’t supply updates, either because of hardware limitations or outdated technology, such as an inability to run newer versions of the software.

Vulnerable security cameras

This worm is just the latest in a series of incidents highlighting the emerging security threat around the Internet of Things. Earlier this year, the US Federal Trade Commission settled a case against TRENDnet, a firm that makes Internet-enabled security cameras and baby monitors. The FTC said that TRENDnet had marketed the cameras as being secure. “In fact, the cameras had faulty software that left them open to online viewing, and in some instances listening, by anyone with the cameras’ Internet address,” the FTC said. “As a result of this failure, hundreds of consumers’ private camera feeds were made public on the Internet”.

In January 2012, a blogger made the flaw public and this resulted in people publishing links to the live feeds of nearly 700 of the cameras. “The feeds displayed babies asleep in their cribs, young children playing, and adults going about their daily lives,” the FTC said. As part of the company’s settlement with the FTC, the firm had to beef up the security on its devices and promising not to misrepresent their security in future promotional material.

What is notable about the TRENDnet incident is that the devices targeted were not infected with any form of malware. Their security configuration simply allowed anyone to access them if they knew how. This was not an isolated incident. There is now even a search engine called Shodan that allows people to search for a range of Internet-enabled devices.

Shodan searches for things rather than websites. Aside from security cameras and other home devices, Shodan can also find building heating control systems, water treatment plants, cars, traffic lights, fetal heart monitors and power plant controls. If a device is simply found using Shodan, it does not mean a device is vulnerable. However, services such as Shodan do make it easier for devices to be discovered if attackers know of vulnerabilities in them.

The connected world

Not all concerns relate to security vulnerabilities. Internet-enabled televisions are now quite common and offer a number of useful additional features such as access to video streaming services and Web browsing. Recently, electronics manufacturer LG confirmed that several of its television models track what people watch and send aggregate data back to the company. The company said that it did this in order to customize advertising for its customers. However, an error in the system meant that the television continued to collect data even when the feature was turned off. The company has said a firmware update is being prepared that will correct this problem.

Internet of Things 1.png

Figure 1. Estimate on the growth in the number of connected devices in the world (Source: Cisco)

The Internet of Things is still only in its early stages. The number of Internet-enabled devices is beginning to explode. According to Cisco, there are now more than 10 billion connected devices on the planet. Given that the world’s population is just over 7 billion, that means that there are now more connected devices than there are people. Cisco, which has been keeping tabs on the numbers of devices, now believes that the number of connected devices will hit 50 billion by 2020. Interestingly, the company believes that around 50 percent of the growth will occur in the last three years of this decade.

Within the past number of years, we have seen a huge range of connected devices emerge. For example the humble thermostat is now Web-enabled. So too is the light bulb, which can now be controlled with a smartphone. Even the automotive industry is sitting up and paying attention, promising connected vehicles that can receive a stream of real-time information.

What is driving this explosion? Simply put, there is now more “room” on the Internet and devices are becoming cheaper to manufacture. Every device connected to the Internet needs an address in order to communicate with other devices. This is known as an Internet Protocol (IP) address. The number of available addresses under the current system of addresses, Internet Protocol Version 4 (IPv4), has been almost exhausted. A new system, IPv6, is currently being adopted. It can provide a vastly larger number of IP addresses, billions upon billions for every single person on the plant.

Other standards are also evolving. For example, the industry charged with overseeing the Bluetooth standard for wireless communications recently announced the latest version of the technology. The group said that Bluetooth is evolving to take into account the development of the Internet of Things. The new Bluetooth standard will make it easier for devices to find and talk to each other in an increasingly crowded environment. And it will now be easier for Bluetooth-enabled devices to link up with an IPv6-enabled Internet.

In tandem with this increase in network space, Internet-enabled devices are becoming easier to manufacture. Many people may be aware of Moore’s law, the axiom that predicts that that the computing power of processors will double every two years. A corollary is that lower powered chips are becoming cheaper to manufacture all of the time. Other technologies, such as Wifi chipsets, have dropped significantly in price over recent years. All of these factors are combining to mean that it’s becoming easier and cheaper to produce Internet-enabled devices.

Staying protected

  • Perform an audit of what devices you own. Just because a device doesn’t possess a screen or a keyboard, doesn’t mean that it isn’t vulnerable to attacks.
  • If something you own is connected to your home network, there is a possibility that it accessible over the Internet and thus needs to be secured.
  • Pay attention to the security settings on any device you purchase. If it is remotely accessible, disable this feature if it isn’t needed. Change any default passwords to something only you know. Don’t use common or easily guessable passwords such as “123456” or “password”. A long combination of letters, numbers and symbols will generate a strong password.
  • Regularly check the manufacturer’s website to see if there are updates to the device’s software. If security vulnerabilities are discovered, manufacturers will often patch them in new updates to the software.

Many of your devices are attached to your home network, which is in turn connected to the Internet. Your router/modem is what stands between your devices and the wider world. Securing it is of paramount importance. Most come equipped with a Firewall, so ensure that it is turned on and properly configured.

?????????????? Linux ???

      No Comments on ?????????????? Linux ???

シマンテックは、「モノのインターネット」を狙う目的で設計されたと思われる新しい Linux ワームを発見しました。このワームは、従来のコンピュータだけでなく、さまざまな種類の小型のインターネット対応デバイスも攻撃する機能を備えています。家庭用ルーター、セットトップボックス、防犯カメラといったデバイスに通常搭載されているチップアーキテクチャごとに亜種が存在します。このようなデバイスへの攻撃はまだ確認されていないものの、その危険性があることに多くのユーザーは気付いていません。これは、自分が所有するデバイス上で Linux が稼働していることを知らないためです。

ワーム Linux.Darlloz は、PHP の脆弱性を悪用して自身を拡散します。ここで利用されているのは、「PHP の「php-cgi」に存在する情報漏えいの脆弱性」(CVE-2012-1823)で、2012 年 5 月にはパッチが公開されている古い脆弱性です。攻撃者は最近、2013 年 10 月末に公開された概念実証(PoC)コードに基づいてこのワームを作成したようです。

Linux.Darlloz は、実行されるとランダムに IP アドレスを生成し、よく使われている ID とパスワードの組み合わせでデバイス上の特定のパスにアクセスして、HTTP POST 要求を送信します。これが脆弱性を悪用しています。標的にパッチが適用されていない場合には、悪質なサーバーからワームをダウンロードして次の標的を探します。現在、このワームは Intel x86 系システムにしか感染しないようです。というのは、悪用コードのダウンロード URL が、Intel アーキテクチャ用の ELF バイナリにハードコード化されているからです。

Linux は、最もよく知られているオープンソース OS で、各種のアーキテクチャに移植されています。Intel ベースのコンピュータに限らず各種の CPU を搭載した小型デバイス、たとえば家庭用ルーターやセットトップボックス、防犯カメラから、産業用制御システムなどでも稼働しています。デバイスによっては、Apache Web サーバーや PHP サーバーなど、設定や監視に使う Web ベースのユーザーインターフェースも用意されています。

シマンテックは、この攻撃者が、同じサーバー上で ARM、PPC、MIPS、MIPSEL など Intel 以外のアーキテクチャ用の亜種をすでにホストしていることも確認しています。


図. ELF ヘッダーの “e_machine” 値を見ると、このワームが ARM アーキテクチャ用であることがわかる

これらのアーキテクチャのほとんどは、前述したようなデバイスで使われています。攻撃者は、Linux が稼働している各種のデバイスに攻撃範囲を広げることで、感染の可能性を最大限に拡大しようと試みているようですが、PC 以外のデバイスに対する攻撃はまだ確認されていません。

組み込みのオペレーティングシステムとソフトウェアを使うデバイスの製造元では、ユーザーに確認することなく製品を設定しているので、事態が複雑になっています。多くのユーザーは、家庭やオフィスで脆弱なデバイスを使っているとは認識していません。デバイスの脆弱性を仮にユーザーが認識していたとしても、製品によっては製造元から更新版が提供されないという別の問題もあります。これは、デバイスのメモリが不足していたり CPU が低速すぎたりして新しいバージョンのソフトウェアをサポートできないなど、旧式の技術やハードウェアの制限が原因となります。

Linux.Darlloz への感染を防ぐために、以下の処理を実行することをお勧めします。

  1. ネットワークに接続されているすべてのデバイスを確認する。
  2. デバイスのソフトウェアを最新のバージョンに更新する。
  3. デバイスで使用できる場合には、セキュリティソフトウェアを更新する。
  4. デバイスに強力なパスワードを設定する。
  5. 以下のパスに対する着信 HTTP POST 要求が不要な場合には、ゲートウェイまたは各デバイスで遮断する。
  • -/cgi-bin/php
  • -/cgi-bin/php5
  • -/cgi-bin/php-cgi
  • -/cgi-bin/php.cgi
  • -/cgi-bin/php4


* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Linux Worm Targeting Hidden Devices

      No Comments on Linux Worm Targeting Hidden Devices

Symantec has discovered a new Linux worm that appears to be engineered to target the “Internet of things”. The worm is capable of attacking a range of small, Internet-enabled devices in addition to traditional computers. Variants exist for chip architectures usually found in devices such as home routers, set-top boxes and security cameras. Although no attacks against these devices have been found in the wild, many users may not realize they are at risk, since they are unaware they own devices that run Linux.

The worm, Linux.Darlloz, exploits a PHP vulnerability to propagate itself in the wild. The worm utilizes the PHP ‘php-cgi’ Information Disclosure Vulnerability (CVE-2012-1823), which is an old vulnerability that was patched in May 2012. The attacker recently created the worm based on the Proof of Concept (PoC) code released in late Oct 2013.

Upon execution, the worm generates IP addresses randomly, accesses a specific path on the machine with well-known ID and passwords, and sends HTTP POST requests, which exploit the vulnerability. If the target is unpatched, it downloads the worm from a malicious server and starts searching for its next target. Currently, the worm seems to infect only Intel x86 systems, because the downloaded URL in the exploit code is hard-coded to the ELF binary for Intel architectures.

Linux is the best known open source operating system and has been ported to various architectures. Linux not only runs on Intel-based computers, but also on small devices with different CPUs, such as home routers, set-top boxes, security cameras, and even industrial control systems. Some of these devices provide a Web-based user interface for settings or monitoring, such as Apache Web servers and PHP servers.

We have also verified that the attacker already hosts some variants for other architectures including ARM, PPC, MIPS and MIPSEL on the same server.


Figure: The “e_machine” value in ELF header indicates the worm is for ARM architecture.

These architectures are mostly used in the kinds of devices described above. The attacker is apparently trying to maximize the infection opportunity by expanding coverage to any devices running on Linux. However, we have not confirmed attacks against non-PC devices yet.

Vendors of devices with hidden operating systems and software, who have configured their products without asking users, have complicated matters. Many users may not be aware that they are using vulnerable devices in their homes or offices. Another issue we could face is that even if users notice vulnerable devices, no updates have been provided to some products by the vendor, because of outdated technology or hardware limitations, such as not having enough memory or a CPU that is too slow to support new versions of the software.

To protect from infection by the worm, Symantec recommends users take the following steps:

  1. Verify all devices connected to the network
  2. Update their software to the latest version
  3. Update their security software when it is made available on their devices
  4. Make device passwords stronger
  5. Block incoming HTTP POST requests to the following paths at the gateway or on each device if not required:
  • -/cgi-bin/php
  • -/cgi-bin/php5
  • -/cgi-bin/php-cgi
  • -/cgi-bin/php.cgi
  • -/cgi-bin/php4


      No Comments on ????????????????????????????


ハリウッド映画を信じるなら、私たちはやがてロボットだらけの世界に住むようになります。ゾンビだらけの世界よりは、ありそうな話です。未来の予測図では、いたる所にロボットが存在します。スクリーンの中では、人工知能が世界征服を企てるという筋書きも定番であり、別形態に変形するロボットや自己修復の機能を持つロボットもすっかりおなじみになりました。残念ながら、ヘビーメタルのサウンドトラックに合わせてスローモーションで宙返りしながら自動車が戦闘ロボットに変形する、という段階には達していませんが、それに近づいていることは間違いありません。MIT の研究者が先日発表した M-Blocks という新モデルは、自己組み立て式ロボットの新たな一幕を象徴する刺激的な作品でした。

MIT が開発した立方体のモジュール型ロボットは、内部のはずみ車を使って自らの配置を変えます。はずみ車が生み出す瞬間的な推進力によって各モジュールは自在な方向に進み、磁力で連結します。モジュールが跳び上がって移動できるほどの強力な勢いを生むエネルギーを発生することもできます。立方体のモジュールで組み上がるのはまだ原始的な形にとどまり、残念ながら巨大な戦闘ロボットになったりはしませんが、そもそもの目標がそこにはありません。研究者が目指しているのは、各モジュールが自律的に動作することです。現在のプロトタイプは外部から制御されており、無線でコマンドを受信しています。


現在の自己組み立て式モジュール型ロボットは、コマンドを送受信する中央制御ユニットを持っており、モノのインターネット(IoT)にたとえることができます。IoT とは、単純に言えば、従来と異なるデバイスのグループをインターネットに接続することであり、大きな可能性を秘めた分野として注目を集めています。IoT の中で最も実用的なのがスマート家電機器で、一部はすでに商品化されています。現在市販されているロボット掃除機は、自己組み立て機能こそありませんが、ロボットには違いありません。

IoT に関しては、すでにセキュリティ業界から多大な関心が寄せられており、IoT をテーマとして取り上げるセキュリティ関連のカンファレンスも増えています。たとえば、ダニエル・ブエンテロ(Daniel Buentello)氏は今年の DerbyCon で、リモートコントロール式の電源スイッチを完全に乗っ取る方法についてプレゼンテーションを行いました。電灯のスイッチをオン/オフするだけなら特に脅威とは感じられませんが、窓やドアを開けられるとなれば驚きは大きくなります。しかも、これは可能性のごく一部にすぎません。冷蔵庫がポートスキャンを実行する、あるいはムード照明が他の照明器具にマルウェアを感染させるというシナリオは、どれも現実性があります。隣人によってトースターがリモートで侵入を受け、そこからの命令でステレオの電源を切られたりする、そんな日が来るかもしれないのです。そうした家電機器は厳重なセキュリティを想定して製造されているわけではないので、悪質なコードが実行されても、検出や除去は難しい可能性があります。

シマンテックは、モノの接続が進むこれからの世界で安全に過ごせるように、この分野の発展を慎重に追跡しています。冷蔵庫がコーヒーメーカーと共謀してトースターに DDoS 攻撃を仕掛けるなどという事態が近い将来に起きないことを祈っています。そんな 1 日の始まりは誰しも願い下げですから。


* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Self-assembling Robots May Herald Dawn of Evil Toasters

If Hollywood is to be believed, we will all one day be living in a future filled with robots, or less likely, zombies. Robots are everywhere in our predicted future. A common theme on the silver screen is the artificial intelligence mastermind attempt…