Tag Archives: Linux.Darlloz

?? ?? ??? ???? ?? ???(IoT) ?

      No Comments on ?? ?? ??? ???? ?? ???(IoT) ?

DarllozConcept.png

시만텍 보안 연구소는 지난 11월 Linux.Darlloz라는 사물 인터넷(IoT, Internet of Things) 웜을 발견했습니다. 이 웜은 Intel x86 아키텍처 기반의 컴퓨터를 공격합니다. 뿐만 아니라 라우터와 셋톱 박스에서 흔히 볼 수 있는 ARM, MIPS, PowerPC 아키텍처 장치도 주요 표적입니다. 시만텍 보안 연구소는 Linux.Darlloz를 처음 발견한 후 1월 중순에 이 웜의 새로운 변종을 찾아냈습니다. 시만텍의 분석에 따르면, 이 웜의 개발자는 특히 웜을 통한 수익 창출에 초점을 맞추고 지속적으로 코드를 업데이트하고 새로운 기능을 추가하고 있습니다.

시만텍이 2월에 전체 인터넷 IP 주소 범위를 대상으로 조사를 실시한 결과, 31,000대 이상의 장치가 Linux.Darlloz에 감염된 것으로 드러났습니다.

코인 채굴

또한 시만텍은 현재 이 웜이 암호 통화(cryptocurrency)를 채굴하는 데 이용되고 있다는 사실도 확인했습니다. Intel 아키텍처를 실행하는 컴퓨터가 이 새로운 변종에 감염되면 cpuminer라는 오픈 소스 기반의 코인 채굴 소프트웨어가 설치됩니다. 그런 다음 이 웜은 감염된 컴퓨터에서 민코인(Mincoin) 또는 도기코인(Dogecoin)을 채굴하는 작업을 시작합니다. 2014년 2월 말까지 도기코인(이 글의 작성 시점 기준 약 46달러) 42,438개, 민코인(동일 시점 기준 약 150달러) 282개가 공격자에 의해 채굴되었습니다. 하지만 일반적인 사이버 범죄와 비교할 때 금액이 적은 편이므로 공격자가 수익을 늘리기 위해 더욱 보안 위협을 지능화하는 데 주력할 것으로 예상됩니다.

이 웜의 새로운 코인 채굴 기능은 Intel x86 아키텍처 기반 컴퓨터에만 영향을 미치며, 사물 인터넷 장치에 대한 공격 사례는 아직 확인되지 않았습니다. 코인 채굴은 일반적으로 장치에 넉넉한 메모리와 강력한 CPU가 있어야 가능합니다.

민코인과 도기코인이 표적이 된 이유

이 웜은 더 높은 유명세와 가치를 누리고 있는 암호 통화인 비트코인(Bitcoin)을 노리기보다 민코인과 도기코인의 채굴에 주력하는 것으로 보입니다. 이는 민코인과 도기코인이 Scrypt 알고리즘을 사용하기 때문입니다. 따라서 수익을 내려면 맞춤형 ASIC 칩이 필요한 비트코인과 달리 가정용 PC에서 수월하게 채굴할 수 있습니다.

새로운 표적

최초의 Darlloz 버전은 라우터 및 셋톱 박스에 사용되는 사용자 이름과 암호의 9개 조합을 사용했습니다. 반면 최신 버전은 13개의 로그인 인증 정보 조합을 사용하는데, 그로 인해 사내 원격 감시에 널리 사용되는 IP 카메라도 공격할 수 있습니다.

사물 인터넷 장치를 노리는 이유

사물 인터넷은 사실상 인터넷에 연결된 모든 유형의 장치를 가리킵니다. 많은 사용자들이 컴퓨터 보안에는 만전을 기하지만 사물 인터넷 장치도 함께 보호해야 한다는 사실을 깨닫지 못할 수 있습니다. 상당수의 사물 인터넷 장치는 일반 컴퓨터와 달리 기본 사용자 이름과 암호가 함께 제공되는데, 아마도 이 정보 자체를 변경하지 않은 사용자가 많을 것입니다. 이렇듯 기본 사용자 이름과 암호를 사용하는 것 자체가 사물 인터넷 장치에 대한 대표적인 공격 벡터 중 하나로 작용합니다. 또한 이러한 장치 중 상당수에는 사용자가 알지 못하는 취약점이 있으며 그에 대한 패치도 설치되어 있지 않습니다.

이 보안 위협은 컴퓨터, 라우터, 셋톱 박스, IP 카메라를 주 공격 대상으로 하지만 향후 이 웜이 업데이트되면 홈 오토메이션 장치, 웨어러블 기술과 같은 다른 사물 인터넷 장치도 표적이 될 수 있습니다.

다른 공격자 차단

이전 블로그에서 설명한 것처럼, 이 웜은 Linux.Aidra와 같은 다른 공격자나 웜이 Linux.Darlloz에 감염된 장치를 공격하지 못하도록 차단합니다. 실제로 이 악성 코드 개발자는 지난 11월에 유포한 웜에서 이 기능을 구현했습니다.

1월 초, 다수의 라우터에서 발견된 백도어에 관한 보고가 있었습니다. 원격 공격자는 이 백도어를 이용하여 라우터에 액세스한 다음 사용자의 네트워크를 감염시킬 수 있습니다. 이는 Darlloz 개발자에게 불리하게 작용했기 때문에 이 개발자는 백도어 포트에 대한 액세스를 차단하는 기능을 구현했습니다. 즉 감염된 장치에 새로운 방화벽 규칙을 만들어 다른 공격자들이 동일한 백도어를 통해 침투할 수 없도록 한 것입니다.

감염 현황

일단 어떤 장치가 감염되면 Darlloz는 감염을 확산시키기 위해 포트 58455에서 HTTP 웹 서버를 시작합니다. 이 서버는 웜 파일을 호스팅하며 아무나 이 포트를 통해 HTTP GET 요청을 사용하여 파일을 다운로드할 수 있도록 합니다. 시만텍은 이 포트가 열린 채로 정적 경로에서 Darlloz 파일을 호스팅하는 IP 주소를 검색했습니다. 그런 다음 Darlloz 웜이 다운로드 가능하다는 전제 하에 호스트 서버의 OS 지문을 수집해 보았습니다. 아래의 통계치를 보면 감염 실태를 대략적으로 파악할 수 있습니다.

  • 31,716개의 IP 주소가 Darlloz에 감염된 것으로 확인되었습니다.
  • 139개 지역에서 Darlloz 감염이 발생했습니다.
  • 감염된 IP 주소로부터 449개의 OS 지문이 식별되었습니다.
  • Darlloz 감염 중 43%는 Linux를 실행하는 Intel 기반 컴퓨터 또는 서버에서 발생했습니다.
  • Darlloz 감염의 38%는 라우터, 셋톱 박스, IP 카메라, 프린터 등 다양한 사물 인터넷 장치에서 발생한 것으로 보입니다.

DarllozPie.png

                                                     그림 1. Darlloz 최다 감염 5개 지역

중국, 미국, 한국, 대만, 인도의 5개 지역이 전체 Darlloz 감염의 50%를 차지했습니다. 인터넷 사용자 수가 많거나 사물 인터넷 장치가 널리 보급된 것이 주 원인으로 보입니다.

감염된 사물 인터넷 장치

개인 사용자는 본인의 사물 인터넷 장치가 악성 코드에 감염될 수 있다는 사실을 인식하지 못할 수 있습니다. 그 결과, 이 웜은 4개월 만에 31,000대의 컴퓨터 및 사물 인터넷 장치를 공격했으며 지금도 계속 확산되고 있습니다. 이 악성 코드 개발자는 앞으로도 계속 기술 환경의 변화에 발맞춰 새로운 기능을 추가하면서 웜을 업데이트할 것으로 예상됩니다. 시만텍 역시 이 보안 위협에 대한 감시를 늦추지 않을 것입니다.

완화 조치

  • 컴퓨터 또는 사물 인터넷 장치에 설치된 모든 소프트웨어에 보안 패치를 적용하십시오.
  • 모든 장치의 펌웨어를 업데이트하십시오.
  • 모든 장치의 기본 암호를 새 암호로 변경하십시오.
  • 필요하지 않은 경우 포트 23 또는 80을 통한 외부의 연결을 차단하십시오.

IoT ??????????????????

      No Comments on IoT ??????????????????

DarllozConcept.png

昨年 11 月、シマンテックは Linux.Darlloz と呼ばれる IoT(モノのインターネット)ワームを確認しました。このワームは、Intel x86 アーキテクチャを搭載したコンピュータを標的としています。さらには、ARM、MIPS、PowerPC アーキテクチャを搭載したデバイスも対象としています。これらのアーキテクチャは通常、ルーターやセットトップボックスにも使われています。最初に Linux.Darlloz を発見して以来、シマンテックは 1 月中旬にこのワームの新しい亜種を発見しました。シマンテックの分析では、このワームの作成者はコードの更新と新機能の追加を繰り返し、特に金銭的利益を得ることを目的としているようです。

シマンテックで 2 月にインターネットの IP アドレス空間全体をスキャンしたところ、Linux.Darlloz に感染したデバイスが 31,000 台以上も見つかりました。

コインマイニング
さらに、このワームの現在の目的が暗号通貨のマイニング(採掘)であることが判明しました。Intel アーキテクチャを搭載したコンピュータがこの新しい亜種に感染すると、cpuminer というオープンソースのコインマイニングソフトウェアがインストールされます。その後、ワームは、感染したコンピュータ上で Mincoin や Dogecoin のマイニングを始めます。2014 年 2 月末までに、攻撃者は 42,438 Dogecoin(このブログの執筆時点のレートで約 46 米ドル)と 282 Mincoin(同じく約 150 米ドル)を採掘しました。これらの金額は平均的なサイバー犯罪活動に比べると少ないため、攻撃者は収益を増大させるために脅威を進化させ続けると予想できます。

このワームの新しいコインマイニング機能の影響を受けているのは、Intel x86 アーキテクチャを搭載したコンピュータのみであり、IoT デバイスへの影響はまだ確認されていません。一般的に、IoT デバイスでコインマイニングを行うには、より多くのコストと高性能な CPU が必要になります。

Mincoin と Dogecoin が狙われる理由
このワームは、より価値の高い有名な暗号通貨 Bitcoin ではなく、Mincoin と Dogecoin のマイニングを目的としているようです。この理由は、Mincoin と Dogecoin が scrypt アルゴリズムを使用しているためです。Bitcoin で利益を上げるにはカスタム ASIC チップが必要ですが、一方 scrypt アルゴリズムであれば、家庭用 PC でもまだ十分にマイニングが可能です。

新たな標的
初期バージョンの Darlloz は、ルーターやセットトップボックス用のユーザー名とパスワードの組み合わせが 9 つ保持していました。現在、最新バージョンにはこれらのログイン情報の組み合わせが 13 個あり、施設の遠隔監視によく使われる IP カメラにも対応しています。

IoT デバイスが狙われる理由
IoT(モノのインターネット)は、あらゆるタイプのデバイスが接続される仕組みです。PC を攻撃から保護しているユーザーは多いものの、IoT デバイスも保護する必要があることはあまり知られていません。通常のコンピュータとは違い、多くの IoT デバイスはデフォルトのユーザー名とパスワードが設定された状態で出荷され、多くのユーザーはこれらを変更していません。そのため、デフォルトのユーザー名とパスワードを使用している IoT デバイスは、攻撃の恰好の標的となるわけです。また、これらのデバイスの多くには、修正パッチが適用されていない脆弱性が含まれており、ユーザーはそのことに気付いていません。

今回の脅威はコンピュータ、ルーター、セットトップボックス、IP カメラを対象としていますが、将来的にはホームオートメーションデバイスやウェアラブルテクノロジなどの他の IoT デバイスも狙うように更新される可能性があります。

他の攻撃者の遮断
以前のブログで説明したように、このワームは、Linux.Darlloz が既に侵入したデバイスを他の攻撃者やワーム(Linux.Aidra など)に狙われるのを阻止します。マルウェア作成者は、昨年 11 月にこのワームをリリースしたときから、この機能を実装していました。

1 月始めには、多数のルーターであるバックドアに関する報告が公開されました。このバックドアを利用すると、攻撃者はリモートからルーターにアクセスして、ユーザーのネットワークに侵入することが可能になります。Darlloz の作成者にとってこれは脅威となるため、感染したデバイス上で新しいファイアウォールルールを作成することで、バックドアポートへのアクセスを遮断する機能を実装し、他の攻撃者が同じバックドアから侵入できないようにしたのです。

確認されている感染状況
デバイスに感染すると、Darlloz は拡散のためにポート 58455 で HTTP Web サーバーを開始します。サーバーはワームファイルをホストし、誰でも HTTP GET 要求を使ってこのポートからファイルをダウンロードできるようにします。シマンテックでは、このポートを開いて静的パスで Darlloz ファイルをホストする IP アドレスを調べました。Darlloz ワームがダウンロード可能であることを前提として、ホストサーバーの OS フィンガープリントの収集を試みたところ、以下の統計情報から感染状況の概要が分かりました。

  • Darlloz の感染が判明した IP アドレス: 31,716
  • Darlloz による感染の影響を受けた地域: 139
  • 感染した IP アドレスから判明した OS フィンガープリント: 449
  • Linux 上で稼働する Intel ベースのコンピュータまたはサーバーに対する Darlloz 感染: 43 %
  • ルーター、セットトップボックス、IP カメラ、プリンタなどの各種 IoT デバイスに影響を与えたと思われる Darlloz 感染: 38 %

DarllozPie.png

図 1. Darlloz 感染が報告された上位 5 つの地域

すべての Darlloz 感染のうち半数が、中国、米国、韓国、台湾、インドの 5 つの地域で発生しています。これらの地域で感染報告が多い理由として最も考えられるのは、インターネットユーザー数の多さと IoT デバイスの普及率の高さです。

IoT デバイスの感染
IoT デバイスのユーザーは、マルウェアに感染していても気付かない可能性があります。その結果、このワームの侵入を受けたコンピュータと IoT デバイスは 4 カ月間で 31,000 台にも及び、被害は今も広がり続けています。マルウェア作成者は、テクノロジの状況変化に応じて、今後もこのワームに新機能を加えることが予想されます。シマンテックでは、引き続きこの脅威を監視していきます。

対策

  • コンピュータや IoT デバイスにインストールされているすべてのソフトウェアにセキュリティパッチを適用する
  • すべてのデバイス上のファームウェアを更新する
  • すべてのデバイス上でデフォルトのパスワードを変更する
  • ポート 23 または 80 での外部からの接続が不要であれば、この接続を遮断する

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

IoT Worm Used to Mine Cryptocurrency

      No Comments on IoT Worm Used to Mine Cryptocurrency

DarllozConcept.png

Last November, we found an Internet of Things (IoT) worm named Linux.Darlloz. The worm targets computers running Intel x86 architectures. Not only that, but the worm also focuses on devices running the ARM, MIPS and PowerPC architectures, which are usually found on routers and set-top boxes. Since the initial discovery of Linux.Darlloz, we have found a new variant of the worm in mid-January. According to our analysis, the author of the worm continuously updates the code and adds new features, particularly focusing on making money with the worm.

By scanning the entire Internet IP address space in February, we found that there were more than 31,000 devices infected with Linux.Darlloz.

Coin mining
In addition, we have discovered the current purpose of the worm is to mine cryptocurrencies. Once a computer running Intel architecture is infected with the new variant, the worm installs cpuminer, an open source coin mining software. The worm then starts mining Mincoins or Dogecoins on infected computers.  By the end of February 2014, the attacker mined 42,438 Dogecoins (approximately US$46 at the time of writing) and 282 Mincoins (approximately US$150 at the time of writing). These amounts are relatively low for the average cybercrime activity so, we expect the attacker to continue to evolve their threat for increased monetization.

The worm’s new coin mining feature only affects computers running the Intel x86 architecture and we haven’t seen it impact IoT devices. These devices typically require more memory and a powerful CPU for coin mining. 

Why Mincoin and Dogecoin?
The worm appears to aim at mining Mincoins and Dogecoins, rather than focusing on the well-known and more valuable cryptocurrency Bitcoin. The reason for this is Mincoin and Dogecoin use the scrypt algorithm, which can still mine successfully on home PCs whereas Bitcoin requires custom ASIC chips to be profitable.

New targets
The initial version of Darlloz has nine combinations of user names and passwords for routers and set-top boxes. The latest version now has 13 of these login credential combinations, which also work for IP cameras, typically used for remote monitoring of premises.

Why IoT devices?
The Internet of Things is all about connected devices of all types. While many users may ensure that their computers are secure from attack, users may not realize that their IoT devices need to be protected too. Unlike regular computers, a lot of IoT devices ship with a default user name and password and many users may not have changed these. As a result, the use of default user names and passwords is one of the top attack vectors against IoT devices. Many of these devices also contain unpatched vulnerabilities users are unaware of.

While this particular threat focuses on computers, routers, set-top boxes and IP cameras, the worm could be updated to target other IoT devices in the future, such as home automation devices and wearable technology.

Blocking other attackers
As described in a previous blog, the worm prevents other attackers or worms, such as Linux.Aidra, from targeting devices already compromised with Linux.Darlloz. The malware author implemented this feature into the worm when it was released last November.

In early January, there were reports about a back door on a number of routers. By using the back door, remote attackers could gain access to the routers, allowing them to compromise the user’s network. For Darlloz’ author, this represented a threat, so they implemented a feature to block the access to the back door port by creating a new firewall rule on infected devices to ensure that no other attackers can get in through the same back door.

Infections in the wild
Once a device is infected, Darlloz starts a HTTP Web server on port 58455 in order to spread. The server hosts worm files and lets anyone download files through this port by using a HTTP GET request. We searched for IP addresses that open this port and host Darlloz files on static paths. Assuming that the Darlloz worm can be downloaded, we tried to collect OS finger prints of the host server. The following statistics give an overview of the infection.

  • There were 31,716 identified IP addresses that were infected with Darlloz.
  • Darlloz infections affected 139 regions.
  • There were 449 identified OS finger prints from infected IP addresses.
  • 43 percent of Darlloz infections compromised Intel based-computers or servers running on Linux.
  • 38 percent of Darlloz infections seem to have affected a variety of IoT devices, including routers, set-top boxes, IP cameras, and printers.

DarllozPie.png

Figure 1. The top five regions with Darlloz infections

The five regions that accounted for 50 percent of all Darlloz infections were China, the US, South Korea, Taiwan and India. The reason for the high infections in these regions is most likely due to their large volumes of Internet users or the penetration of IoT devices.

Infected IoT devices
Consumers may not realize that their IoT devices could be infected with malware. As a result, this worm managed to compromise 31,000 computers and IoT devices in four months and it is still spreading. We expect that the malware author will continue to update this worm with new features as the technology landscape changes over time. Symantec will continue to keep an eye on this threat.

Mitigation

  • Apply security patches for all software installed on computers or IoT devices
  • Update firmware on all devices
  • Change the password from default on all devices
  • Block the connection on port 23 or 80 from outside if not required

??????????????

      No Comments on ??????????????

エンターテインメントシステムなどの多数の家庭用デバイスや、さらには冷蔵庫までがスパムを送信していたという、Proofpoint 社による調査に基づいた報道をご覧になった方もいるでしょう。こうしたネットワーク対応デバイスの集まりは、「モノのインターネット(IoT)」と呼ばれています。もともと、この調査レポートには証拠が伴っていなかったため、シマンテックはその内容を裏付けることができませんでしたが、新たな詳細情報が公開されたことにより、最近のスパム攻撃が、冷蔵庫などの IoT デバイスから送信されたものではないことを確認できました。

シマンテックは、一般に公開された情報から、今回のスパムが Windows コンピュータの感染に起因する典型的なボットネットによって送信されていることを突き止めました。シマンテックは、エンドポイントセキュリティ製品、スパムを受信するハニーポット、スパム始動コマンドを待ち受けるボットネットハニーポットなど、多様なソースから遠隔測定データを受信しています。そうしたすべてのソースからスパムを追跡したところ、複数の Windows コンピュータに辿り着きましたが、その一部は W32.Waledac(Kelihos)に感染していました。このスパムが Windows 以外のコンピュータシステムから発信された例は今までになく、使途不明の大量スパムが他のソースから発信されていることも確認されていません。

今回の冷蔵庫は無実でしたが、IoT デバイスからのスパム送信がありえないというわけではありません。シマンテックは最近、IoT に対する初めての脅威である Linux.Darlloz を発見しました。Linux.Darlloz は、ルーター、カメラ、エンターテインメントシステムといった Linux ベースの IoT デバイスに感染します。Darlloz で注目すべき点は、IoT デバイスに感染するだけでなく、Linux.Aidra という別の脅威との間でワーム戦争を巻き起こしていることです。Darlloz は、デバイスが Aidra に感染しているかどうかを確認し、感染している場合にはそのデバイスから Aidra を削除します。

これは、ワーム作成者が IoT という縄張りを争っていることが確認された初めての例であり、2004 年のワーム戦争を連想させます。対象となるデバイスの処理能力もメモリも限られていることを考えると、同様の縄張り争いは今後も起きると予想されます。

IoT デバイスを狙うマルウェアはまだ生まれたばかりですが、IoT デバイスはさまざまなセキュリティ問題に影響されやすいという性質を持っています。したがって、近い将来に冷蔵庫が本当にスパムを送信し始めたとしても、驚くほどのことではありません。PC の場合と同様に、IoT デバイス上のソフトウェアも最新の状態に保ち、ルーターの内側にデバイスを置いて、デフォルトのパスワードはすべて安全性の高いパスワードに変更してください。

ところで、冷蔵庫が悪質化してスパムの送信を始めたという誤った結論はどこから導き出されたのでしょうか。

あいにく、インターネット上の実際の物理デバイスについて製造元やモデルを特定することは容易ではありません。多くの家庭用デバイスはホームルーターの内側に置かれており、ネットワークアドレス変換(NAT)を利用しています。外部から見ると、ルーターの内側に置かれているデバイスはすべて同じ IP アドレスを共有しているため、ネットワークトラフィックの本来のソースが、ルーターの内側に置かれているデバイスなのか、またはルーター自体なのかを判断するのは困難です。しかも、ルーターで開いているポートを調べる場合、ルーターがポート転送を採用していると、ルーターの内側に置かれている 1 つ以上のデバイスが公開されることがあります。たとえば、外出中にテレビ番組を録画できるようにインターネットを介してデジタルビデオレコーダーにアクセスする用途など、家庭用デバイスへのリモートアクセスが可能なようにルーター上でポート転送が有効になっている場合があります。その場合、ルーターが存在していることさえ気付かず、公開されたデバイスだけがその IP アドレスを使っている唯一のデバイスだと思い込んでしまう恐れがあります。

Refrigerator Spam 1.png

図. 見た目と実際は同じではない

今回の場合、マルウェアに感染したコンピュータは、エンターテインメントシステムや冷蔵庫のような他の家庭用デバイスと同様、ホームルーターの内側に置かれていました。感染したコンピュータがボットコントローラから新しいスパムテンプレートを受け取ると、スパムはルーターを通過し、特定の IP アドレスから送られたように見えます。その IP アドレスを調べると、感染したコンピュータには到達せず、ルーターに辿り着きます。

また、冷蔵庫がポート転送という機能を使っていて、誰かがポート 80 で IP アドレスに接続する場合、そのトラフィックはスマート冷蔵庫に到達できることになります。外部から見ると、目に見えているのは冷蔵庫だけで、そこにルーターが存在していることや、感染したコンピュータなどその他の多くのデバイスがルーターの内側に存在する可能性に気付かないかもしれません。こうした誤解こそ、冷蔵庫がスパムを送信していたと報告された理由なのです。事実としては、冷蔵庫が、感染したコンピュータとたまたま同じネットワーク上にあったに過ぎません。

今回どのような経緯で誤解が生じたかを検証するために、シマンテックは Waledac に感染したコンピュータのパブリック IP アドレスを調べました。予想どおり、検証で何度も最終的にエンターテインメントシステムやその他の家庭用デバイスに到達しましたが、それらはたまたまルーターを介して公開され、Waledac に感染したコンピュータと同じネットワークを共有していただけでした。

今回 IoT デバイスの罪は晴れましたが、将来的にはスパム送信の元凶となる恐れがあると思われます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Despite the News, Your Refrigerator is Not Yet Sending Spam

You may have seen media reports based on research by Proofpoint that hundreds of home devices such as entertainment systems and even a refrigerator had been sending spam. We refer to this collection of networked devices as the Internet of Things (IoT). Originally, the reports didn’t provide any evidence so we were unable to validate the claim. However, additional details have now been made available and we can confirm that your IoT devices, including your refrigerator, are not the source of this recent spam run.

From the information that was publicly provided, we have been able to determine that this specific spam run is being sent by a typical botnet resulting from a Windows computer infection. Symantec receives telemetry from a wide variety of sources including our endpoint security products, spam receiving honeypots, and botnet honeypots that await spam-initiating commands. All of these sources traced the spam to multiple Windows computers, some of which were verified to be infected with W32.Waledac (Kelihos). We have not seen this spam originate from any non-Windows computer systems and do not see any unaccounted volume of spam that may originate from other sources.

Even though the refrigerator was innocent, having IoT devices send spam isn’t impossible. Recently, we uncovered one of the first and most interesting IoT threats, Linux.Darlloz, which infects Linux-based IoT devices such as routers, cameras, and entertainment systems. Beyond its ability to infect IoT devices, what makes Darlloz interesting is that it is involved in a worm war with another threat known as Linux.Aidra. Darlloz checks if a device is infected with Aidra and if found, removes it from the device.

This is the first time we’ve seen worm writers fight an IoT turf war and is reminiscent of the 2004 worm wars. Considering these devices have limited processing power and memory, we’d expect to see similar turf battles in the future.

While malware for IoT devices is still in its infancy, IoT devices are susceptible to a wide range of security concerns. So don’t be surprised if, in the near future, your refrigerator actually does start sending spam. As with any computer system, keep the software on IoT devices up-to-date, place them securely behind a router, and change all default passwords to something more secure.

So, how did others incorrectly come to the conclusion that our refrigerators had gone rogue and started to send spam?

Unfortunately, confirming the make and model of an actual physical device on the Internet isn’t that easy. Many home devices sit behind a home router and use Network Address Translation (NAT). From the view point of an outsider, all the devices behind that router share the same IP address. This makes it difficult to determine whether a device behind the router or the router itself was the original source of the network traffic. Furthermore, if you probe the router for open ports the router may employ port forwarding, exposing one or more devices behind the router. You could be fooled into not even realizing a router is there and think that the exposed device is the sole device using that IP address.

Refrigerator Spam 1.png

Figure. What you see is not what you have

In this particular case, you have computers infected with malware sitting behind a home router along with a variety of other home devices, like an entertainment system or even a refrigerator. When the infected computer receives a new spam template from the bot controller, the spam will travel through the router and appear from a particular IP address. If you probe that IP address, instead of reaching the infected computer you will reach the router.

In addition, if your refrigerator uses a feature known as port forwarding and someone contacts the IP address on port 80, that traffic is allowed to reach your smart refrigerator. Viewed from outside, all you will see is the refrigerator and you may not even realize there is a router with potentially many other devices behind it, such as an infected computer. This misunderstanding was what led to reports of refrigerators sending spam. The truth is that those refrigerators just happened to be on the same network as an infected computer.

To validate how someone might be misled, we probed the public IP address of a Waledac infected computer. As expected, in many cases we ended up reaching entertainment systems and other home devices that happened to be exposed through the router and were just sharing the same network as a Waledac-infected computer.

So while IoT devices weren’t to blame this time, we expect they probably will be to blame in the future.

??????????: ???????????????????????

      No Comments on ??????????: ???????????????????????

Internet of Things Header.jpg

ベビーモニターが覗き見に悪用されるということはありえるでしょうか。テレビがユーザーの視聴傾向を監視したり、自動車が悪質な攻撃者によってハッキングされたりする可能性はあるでしょうか。はたまた、セットトップボックスやインターネットルーターのようにどう見ても無害そうなデバイスが、ホームコンピュータへの侵入口として利用されることはありえるでしょうか。

「モノのインターネット」(IoT)が実現するとともに、セキュリティ上の脅威の標的になるデバイスはますます増え続けています。「モノのインターネット」とは何でしょうか。簡単に言えば、インターネットに接続されているのがコンピュータだけではなくなる時代に向かっているということです。家電製品やセキュリティシステム、暖房、照明器具、そして自動車まですべてがインターネットに対応しつつあります。ほとんどあらゆるモノがインターネットに接続される世界という壮大な構想、それが「モノのインターネット」です。

刺激的で新しい変化が今まさに起ころうとしています。インターネットに対応した住宅では、終業後に会社を出る前にホームネットワークにログオンし、セントラルヒーティングやオーブンの電源を入れておくことができます。夜間の外出中にアラームが鳴り出した場合でも、スマートフォンからホームセキュリティシステムにログオンすれば、防犯カメラを確認し、異常がなければアラームをリセットすることが可能です。

問題なのは、新しいテクノロジの発展があるところには必ず、セキュリティ上の新しい脅威も生まれてくるということです。今や多くの消費者は、コンピュータがマルウェアの標的になりえることを強く認識しています。新世代のスマートフォンが攻撃に対して脆弱であるという認識も浸透しつつあります。しかし、それ以外のデバイスに対する脅威を認識している人はほとんどいません。

Linux ワーム

モノのインターネットはまだ生まれたばかりですが、脅威はすでに存在しています。たとえば、シマンテックの研究員である林薫は最近、Linux オペレーティングシステムが稼働しているコンピュータを標的にする新しいワームを発見しました。Linux に触れたことがある人は多くないかもしれませんが、Linux はビジネスの世界では大きな役割を果たしており、Web サーバーやメインフレームなどの運用に広く利用されています。

このワーム Linux.Darlloz に、当初それほど特異な点があるようには見えませんでした。Linux.Darlloz は、スクリプト言語 PHP に古くから存在する脆弱性を利用してコンピュータにアクセスし、一般によく使われている一連のユーザー名とパスワードを組み合わせて管理者権限の取得を試みたうえ、他のコンピュータを検索して自身を拡散します。侵入先のコンピュータでバックドアを開くので、攻撃者はそのコンピュータに対してコマンドを発行できるようになります。

このワームが悪用していたのは PHP の古い脆弱性であり、拡散するためにはパッチが適用されていないコンピュータを見つけなければなりません。機能がこれだけであれば特筆すべき点は何もありませんが、林がさらに Linux.Darlloz を調べた結果、興味深い事実が判明しました。実際に活動が確認されたバージョンは、PC やサーバーで広く使われている Intel x86 系のチップアーキテクチャを採用したコンピュータのみに感染するように設計されていましたが、その後、そのワームと同じサーバー上で、ARM、PPC、MIPS、MIPSEL の各チップアーキテクチャ用に設計されたバージョンがホストされていることが確認されました。これらのアーキテクチャのほとんどは、ホームルーター、セットトップボックス、防犯カメラといったデバイスや産業用制御システムで利用されています。つまり、攻撃者はいつでも、これらのデバイスに対する攻撃を開始できる状態だったことになります。

このワームの機能で注目に値するのが、Linux.Aidra という他の Linux ワームが存在しないかスキャンすることです。このワームに関連付けられているファイルが見つかると、Linux.Darlloz はそれらを削除しようとします。また、Linux.Aidra が使う通信ポートも遮断しようとします。他のワームを削除している背景に利他的な動機はありません。おそらく Linux.Darlloz を操る攻撃者は、Linux.Aidra に感染するようなデバイスはメモリも処理能力も制限されていることを知っており、そうしたリソースを他のマルウェアに使われたくはないと考えたのでしょう。

Linux.Darlloz が駆逐しようとしている Linux.Aidra 自体も、同じ新世代を代表する脅威です。シマンテックが発見した Darlloz の一部の亜種と同様に、Linux.Aidra は小型デバイス、具体的にはケーブルモデムや DSL モデムを標的にします。Linux.Aidra が小型デバイスをボットネットに追加すると、攻撃者はそれを利用して分散サービス拒否(DDoS)攻撃を実行できます。Darlloz の作成者が誰であれ、すでに感染が広がっている Aidra が Darlloz にとって脅威になる可能性があると判断したことは明らかです。

この手の脅威で特に懸念されるのは、デバイスで稼働しているオペレーティングシステムに対しても攻撃の恐れがあるという事実に、多くのエンドユーザーがまったく気付いていないことです。これは、ソフトウェアがデバイス上では目に見えないことがほとんどだからです。製造元によっては更新版が提供されないという別の問題もあります。これは、新しいバージョンのソフトウェアを実行できないなど、旧式の技術やハードウェアの制限が原因です。

脆弱な防犯カメラ

Linux.Darlloz も、モノのインターネットを取り巻くセキュリティ上の新たな脅威が際立った一連の事案のうち、最新の一例にすぎません。今年に入ってすぐ、米国連邦取引委員会は TRENDnet 社に対する訴えを和解で解決しました。同社は、インターネット対応の防犯カメラとベビーモニターを製造しているメーカーです。TRENDnet 社は安全性を謳って製品を販売していましたが、「実際には、同社のカメラはソフトウェアに問題があったため、カメラのインターネットアドレスさえわかればオンラインで自由な閲覧と、場合によっては傍聴も可能な状態だった。そのような欠陥があるため、数百人もの消費者のプライベートなカメラ映像がインターネット上で公開されるに至った」と FTC は指摘しています。

2012 年 1 月にあるブロガーがこの欠陥を公表したところ、700 台近いカメラのライブ映像のリンクが公開されてしまいました。「映像には、ベビーベッドで眠っている乳児や遊んでいる子どもの姿だけでなく、大人の日常生活まで写っていた」と FTC は述べています。FTC との調停の一環として、TRENDnet 社はデバイスのセキュリティ強化を余儀なくされ、今後の販促資料でセキュリティについて誤解がないよう図る旨を確約しました。

TRENDnet 社の事案で特筆すべきなのは、標的となったデバイスが何のマルウェアにも感染していなかったという点です。セキュリティ設定が原因で、方法さえわかれば誰でもアクセスできる状態になっていただけです。しかも、事案はこれだけで終わってはいません。今では、インターネット対応のさまざまなデバイスを検索できる SHODAN という検索エンジンまで登場しています。

SHODAN が検索するのは、Web サイトではなくモノです。防犯カメラなどの家庭用デバイスだけでなく、ビルの暖房制御システム、水処理プラント、自動車、信号、胎児の心音モニター、発電所の制御系まで検索することができます。SHODAN で検索できたからといって、必ずしもそのデバイスが脆弱であるとは限りませんが、このようなサービスがあれば、攻撃者は脆弱性の存在をつかんでいるデバイスをさらに容易に発見できるようになります。

あらゆるモノがつながる世界

懸念されるのは、セキュリティ上の脆弱性だけではありません。インターネット対応のテレビは今やごく一般的であり、ストリーミングビデオサービスや Web ブラウザなど便利な付加機能が豊富に用意されています。電子機器メーカーの LG 社は最近、同社のテレビのうち一部のモデルがユーザーの視聴状況を追跡し、集計データを同社に送信していることを認めました。LG 社は、ユーザーに提供する広告をカスタマイズすることが目的であると説明しましたが、この機能がオフになっていてもデータが収集され続けたことについては、システムに問題があったためとしています。同社によると、この問題を修正するファームウェア更新は現在準備中です。

Internet of Things 1.png

図 1. 全世界のインターネット対応デバイスの増加予測(出典: Cisco 社)

モノのインターネットは、依然として黎明期にありますが、インターネット対応のデバイスは爆発的に増えつつあります。Cisco 社によれば、地球上には現在 100 億台を超えるインターネット対応デバイスが存在しています。世界の人口は 70 億を少し超えたところなので、今や人間の数よりインターネット対応デバイスのほうが多いということです。インターネット対応デバイスの数を記録してきた Cisco 社は、その数が 2020 年までに 500 億に達すると予測しています。注目すべきは、その増加のうちほぼ半数が、予測期間の最後の 3 年間に集中していることです。

これまでにも、さまざまな種類のインターネット対応デバイスが登場しています。たとえば、ただのサーモスタットでさえ今では Web 対応です。電球も同様で、スマートフォンで照明を調節できるようになりました。自動車業界もこの動向に大きく注目しており、リアルタイム情報のストリームを受信できるインターネット対応車の開発を確約しています

これほどの爆発的な増加をもたらしている要因は何でしょうか。簡単に言うと、インターネット上に「余裕」が生まれ、デバイスの製造原価が下がり続けていることです。インターネットに接続されるどのデバイスも、他のデバイスと通信するためにはアドレスが必要です。これが、いわゆるインターネットプロトコル(IP)アドレスです。現行の IP アドレスシステムである IPv4(Internet Protocol Version 4)で使用できるアドレスはほぼ枯渇しており、現在は新しい IPv6 の採用が進んでいるところです。IPv6 では IP アドレスの数が膨大になり、地球上の 1 人 1 人に何十億もの IP アドレスを割り当てることができます。

その他の規格も進化が進んでいます。たとえば、無線通信の Bluetooth 規格を管理している業界団体は最近、Bluetooth の最新版を発表しました。同団体によれば、Bluetooth はモノのインターネットの発展も考慮に入れて進化しています。新しい Bluetooth 規格では、環境がますます輻輳する中でデバイス間の検出と通信が今より容易になるとされています。また、Bluetooth 対応のデバイスが IPv6 規格のインターネットにリンクするのも簡単になります。

このようにネットワーク空間が広がるとともに、インターネット対応デバイスの製造も容易になりつつあります。広く知られているとおり、ムーアの法則によればプロセッサの処理能力は 2 年ごとに 2 倍になります。必然的に、処理能力の低いチップは製造原価が常に安くなっていきます。Wi-Fi チップセットなど他の技術も、ここ数年で価格が大幅に下がっています。こうした要因がすべて重なり合った結果、インターネット対応デバイスの製造は容易に、しかも安価になっているのです。

安全のために

  • 所有しているデバイスの点検を実施してください。デバイスに画面やキーボードがないからといって、攻撃に対して脆弱でないとは言えません。
  • 所有しているデバイスがホームネットワークに接続されている場合には、インターネットを介してアクセスできる可能性があり、保護することが必要です。
  • デバイスを購入したときには、そのセキュリティ設定に注意を払ってください。リモートアクセスが可能であれば、必要でない限り無効にします。デフォルトのパスワードは自分しか知らないパスワードに変更し、「123456」や「password」といった誰でも簡単に推測できるパスワードは使わないでください。文字、数字、記号を組み合わせて長くすれば、パスワードの強度が上がります。
  • 製造元の Web サイトを定期的にチェックして、デバイスのソフトウェアの更新版がないかどうか確認してください。セキュリティ上の脆弱性が見つかった場合、通常は、脆弱性を解決する新しいソフトウェア更新が製造元から公開されます。

多くのデバイスはホームネットワークにつながっており、そのホームネットワークはインターネットにつながっています。ルーターやモデムは、デバイスと外の世界との間に置かれるデバイスであり、保護することが特に重要です。通常はファイアウォール機能が付随しているので、機能を有効にして適切に設定するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Internet of Things: New Threats Emerge in a Connected World

Internet of Things Header.jpg

Could your baby monitor be used to spy on you? Is your television keeping tabs on your viewing habits? Is it possible for your car to be hacked by malicious attackers? Or could a perfectly innocent looking device like a set-top box or Internet router be used as the gateway to gain access to your home computer?

A growing number of devices are becoming the focus of security threats as the Internet of Things (IoT) becomes a reality. What is the Internet of Things? Essentially, we are moving into an era when it isn’t just computers that are connected to the Internet. Household appliances, security systems, home heating and lighting, and even cars are all becoming Internet-enabled. The grand vision is of a world where almost anything can be connected—hence the Internet of Things.

Exciting new developments are in the offing. A connected home could allow you to logon to your home network before you leave work in the evening to turn on your central heating and your oven. If your alarm goes off while you are out in the evening, you could logon to your home security system from your smartphone, check your security cameras and reset your alarm if there isn’t a problem.

Unfortunately, every new technological development usually comes with a new set of security threats. Most consumers are now very aware that their computer could be targeted with malware. There is also growing awareness that the new generation of smartphones are also vulnerable to attack. However, few people are aware of the threat to other devices.

Linux worm

The Internet of Things may be in its infancy but threats already exist. For example, Symantec investigator Kaoru Hayashi recently discovered a new worm that targeted computers running the Linux operating system. Most people have probably never come across Linux, but it plays a big role in the business world and is widely used to run Web servers and mainframes for example.

The worm, Linux.Darlloz, initially appeared to be nothing out of the ordinary. It utilizes an old vulnerability in scripting language PHP to gain access to a computer; attempts to gain administrative privileges by trying a series of commonly-used usernames and passwords and propagates itself by searching for other computers. The worm leaves a back door on the infected computer, allowing the attacker to issue commands to it.

Since the worm exploits an old vulnerability in PHP, the threat relies on finding computers that haven’t been patched in order to spread. If this was all that the worm did, it would be fairly unremarkable. However, as Kaoru investigated the threat further, he discovered something interesting. The version circulating in the wild was designed to infect only computers running Intel x86 chip architectures, which are usually found on personal computers and servers. Kaoru then discovered versions designed for the ARM, PPC, MIPS and MIPSEL chip architectures hosted on the same server as the original worm. These architectures are mostly found in devices such as home routers, set-top boxes, security cameras and industrial control systems. The attacker was in a position to begin attack these devices at a time of their choosing.

One of the interesting things this worm does is scan for instances of another Linux worm, known as Linux.Aidra. If it finds any files associated with this threat, it attempts to delete them. The worm also attempts to block the communications port used by Linux.Aidra. There is no altruistic motive behind removal of the other worm. The likelihood is that the attacker behind Linux.Darlloz knows that the kinds of devices infected by Linux.Aidra have limited memory and processing power, and does not want to share them with any other piece of malware. 

Linux.Aidra, the malware that Linux.Darlloz attempts usurp, also exemplifies this new generation of threats. Like some of the variants of Darlloz discovered by Symantec, Linux.Aidra targets smaller devices, specifically cable and DSL modems. The worm adds them to a botnet, which can be utilized by the attackers to perform distributed denial-of-service (DDoS) attacks. Whoever authored Darlloz obviously believed that Aidra infections were so widespread that it posed a potential threat to their own malware.

What is particularly worrisome about these kinds of threat is that, in many instances, the end-user may have no idea that their device is running an operating system that could be attacked. The software is, by and large, hidden away on the device. Another potential issue is that some vendors don’t supply updates, either because of hardware limitations or outdated technology, such as an inability to run newer versions of the software.

Vulnerable security cameras

This worm is just the latest in a series of incidents highlighting the emerging security threat around the Internet of Things. Earlier this year, the US Federal Trade Commission settled a case against TRENDnet, a firm that makes Internet-enabled security cameras and baby monitors. The FTC said that TRENDnet had marketed the cameras as being secure. “In fact, the cameras had faulty software that left them open to online viewing, and in some instances listening, by anyone with the cameras’ Internet address,” the FTC said. “As a result of this failure, hundreds of consumers’ private camera feeds were made public on the Internet”.

In January 2012, a blogger made the flaw public and this resulted in people publishing links to the live feeds of nearly 700 of the cameras. “The feeds displayed babies asleep in their cribs, young children playing, and adults going about their daily lives,” the FTC said. As part of the company’s settlement with the FTC, the firm had to beef up the security on its devices and promising not to misrepresent their security in future promotional material.

What is notable about the TRENDnet incident is that the devices targeted were not infected with any form of malware. Their security configuration simply allowed anyone to access them if they knew how. This was not an isolated incident. There is now even a search engine called Shodan that allows people to search for a range of Internet-enabled devices.

Shodan searches for things rather than websites. Aside from security cameras and other home devices, Shodan can also find building heating control systems, water treatment plants, cars, traffic lights, fetal heart monitors and power plant controls. If a device is simply found using Shodan, it does not mean a device is vulnerable. However, services such as Shodan do make it easier for devices to be discovered if attackers know of vulnerabilities in them.

The connected world

Not all concerns relate to security vulnerabilities. Internet-enabled televisions are now quite common and offer a number of useful additional features such as access to video streaming services and Web browsing. Recently, electronics manufacturer LG confirmed that several of its television models track what people watch and send aggregate data back to the company. The company said that it did this in order to customize advertising for its customers. However, an error in the system meant that the television continued to collect data even when the feature was turned off. The company has said a firmware update is being prepared that will correct this problem.

Internet of Things 1.png

Figure 1. Estimate on the growth in the number of connected devices in the world (Source: Cisco)

The Internet of Things is still only in its early stages. The number of Internet-enabled devices is beginning to explode. According to Cisco, there are now more than 10 billion connected devices on the planet. Given that the world’s population is just over 7 billion, that means that there are now more connected devices than there are people. Cisco, which has been keeping tabs on the numbers of devices, now believes that the number of connected devices will hit 50 billion by 2020. Interestingly, the company believes that around 50 percent of the growth will occur in the last three years of this decade.

Within the past number of years, we have seen a huge range of connected devices emerge. For example the humble thermostat is now Web-enabled. So too is the light bulb, which can now be controlled with a smartphone. Even the automotive industry is sitting up and paying attention, promising connected vehicles that can receive a stream of real-time information.

What is driving this explosion? Simply put, there is now more “room” on the Internet and devices are becoming cheaper to manufacture. Every device connected to the Internet needs an address in order to communicate with other devices. This is known as an Internet Protocol (IP) address. The number of available addresses under the current system of addresses, Internet Protocol Version 4 (IPv4), has been almost exhausted. A new system, IPv6, is currently being adopted. It can provide a vastly larger number of IP addresses, billions upon billions for every single person on the plant.

Other standards are also evolving. For example, the industry charged with overseeing the Bluetooth standard for wireless communications recently announced the latest version of the technology. The group said that Bluetooth is evolving to take into account the development of the Internet of Things. The new Bluetooth standard will make it easier for devices to find and talk to each other in an increasingly crowded environment. And it will now be easier for Bluetooth-enabled devices to link up with an IPv6-enabled Internet.

In tandem with this increase in network space, Internet-enabled devices are becoming easier to manufacture. Many people may be aware of Moore’s law, the axiom that predicts that that the computing power of processors will double every two years. A corollary is that lower powered chips are becoming cheaper to manufacture all of the time. Other technologies, such as Wifi chipsets, have dropped significantly in price over recent years. All of these factors are combining to mean that it’s becoming easier and cheaper to produce Internet-enabled devices.

Staying protected

  • Perform an audit of what devices you own. Just because a device doesn’t possess a screen or a keyboard, doesn’t mean that it isn’t vulnerable to attacks.
  • If something you own is connected to your home network, there is a possibility that it accessible over the Internet and thus needs to be secured.
  • Pay attention to the security settings on any device you purchase. If it is remotely accessible, disable this feature if it isn’t needed. Change any default passwords to something only you know. Don’t use common or easily guessable passwords such as “123456” or “password”. A long combination of letters, numbers and symbols will generate a strong password.
  • Regularly check the manufacturer’s website to see if there are updates to the device’s software. If security vulnerabilities are discovered, manufacturers will often patch them in new updates to the software.

Many of your devices are attached to your home network, which is in turn connected to the Internet. Your router/modem is what stands between your devices and the wider world. Securing it is of paramount importance. Most come equipped with a Firewall, so ensure that it is turned on and properly configured.

?????????????? Linux ???

      No Comments on ?????????????? Linux ???

シマンテックは、「モノのインターネット」を狙う目的で設計されたと思われる新しい Linux ワームを発見しました。このワームは、従来のコンピュータだけでなく、さまざまな種類の小型のインターネット対応デバイスも攻撃する機能を備えています。家庭用ルーター、セットトップボックス、防犯カメラといったデバイスに通常搭載されているチップアーキテクチャごとに亜種が存在します。このようなデバイスへの攻撃はまだ確認されていないものの、その危険性があることに多くのユーザーは気付いていません。これは、自分が所有するデバイス上で Linux が稼働していることを知らないためです。

ワーム Linux.Darlloz は、PHP の脆弱性を悪用して自身を拡散します。ここで利用されているのは、「PHP の「php-cgi」に存在する情報漏えいの脆弱性」(CVE-2012-1823)で、2012 年 5 月にはパッチが公開されている古い脆弱性です。攻撃者は最近、2013 年 10 月末に公開された概念実証(PoC)コードに基づいてこのワームを作成したようです。

Linux.Darlloz は、実行されるとランダムに IP アドレスを生成し、よく使われている ID とパスワードの組み合わせでデバイス上の特定のパスにアクセスして、HTTP POST 要求を送信します。これが脆弱性を悪用しています。標的にパッチが適用されていない場合には、悪質なサーバーからワームをダウンロードして次の標的を探します。現在、このワームは Intel x86 系システムにしか感染しないようです。というのは、悪用コードのダウンロード URL が、Intel アーキテクチャ用の ELF バイナリにハードコード化されているからです。

Linux は、最もよく知られているオープンソース OS で、各種のアーキテクチャに移植されています。Intel ベースのコンピュータに限らず各種の CPU を搭載した小型デバイス、たとえば家庭用ルーターやセットトップボックス、防犯カメラから、産業用制御システムなどでも稼働しています。デバイスによっては、Apache Web サーバーや PHP サーバーなど、設定や監視に使う Web ベースのユーザーインターフェースも用意されています。

シマンテックは、この攻撃者が、同じサーバー上で ARM、PPC、MIPS、MIPSEL など Intel 以外のアーキテクチャ用の亜種をすでにホストしていることも確認しています。

ARM_0.png

図. ELF ヘッダーの “e_machine” 値を見ると、このワームが ARM アーキテクチャ用であることがわかる

これらのアーキテクチャのほとんどは、前述したようなデバイスで使われています。攻撃者は、Linux が稼働している各種のデバイスに攻撃範囲を広げることで、感染の可能性を最大限に拡大しようと試みているようですが、PC 以外のデバイスに対する攻撃はまだ確認されていません。

組み込みのオペレーティングシステムとソフトウェアを使うデバイスの製造元では、ユーザーに確認することなく製品を設定しているので、事態が複雑になっています。多くのユーザーは、家庭やオフィスで脆弱なデバイスを使っているとは認識していません。デバイスの脆弱性を仮にユーザーが認識していたとしても、製品によっては製造元から更新版が提供されないという別の問題もあります。これは、デバイスのメモリが不足していたり CPU が低速すぎたりして新しいバージョンのソフトウェアをサポートできないなど、旧式の技術やハードウェアの制限が原因となります。

Linux.Darlloz への感染を防ぐために、以下の処理を実行することをお勧めします。

  1. ネットワークに接続されているすべてのデバイスを確認する。
  2. デバイスのソフトウェアを最新のバージョンに更新する。
  3. デバイスで使用できる場合には、セキュリティソフトウェアを更新する。
  4. デバイスに強力なパスワードを設定する。
  5. 以下のパスに対する着信 HTTP POST 要求が不要な場合には、ゲートウェイまたは各デバイスで遮断する。
  • -/cgi-bin/php
  • -/cgi-bin/php5
  • -/cgi-bin/php-cgi
  • -/cgi-bin/php.cgi
  • -/cgi-bin/php4

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Linux Worm Targeting Hidden Devices

      No Comments on Linux Worm Targeting Hidden Devices

Symantec has discovered a new Linux worm that appears to be engineered to target the “Internet of things”. The worm is capable of attacking a range of small, Internet-enabled devices in addition to traditional computers. Variants exist for chip architectures usually found in devices such as home routers, set-top boxes and security cameras. Although no attacks against these devices have been found in the wild, many users may not realize they are at risk, since they are unaware they own devices that run Linux.

The worm, Linux.Darlloz, exploits a PHP vulnerability to propagate itself in the wild. The worm utilizes the PHP ‘php-cgi’ Information Disclosure Vulnerability (CVE-2012-1823), which is an old vulnerability that was patched in May 2012. The attacker recently created the worm based on the Proof of Concept (PoC) code released in late Oct 2013.

Upon execution, the worm generates IP addresses randomly, accesses a specific path on the machine with well-known ID and passwords, and sends HTTP POST requests, which exploit the vulnerability. If the target is unpatched, it downloads the worm from a malicious server and starts searching for its next target. Currently, the worm seems to infect only Intel x86 systems, because the downloaded URL in the exploit code is hard-coded to the ELF binary for Intel architectures.

Linux is the best known open source operating system and has been ported to various architectures. Linux not only runs on Intel-based computers, but also on small devices with different CPUs, such as home routers, set-top boxes, security cameras, and even industrial control systems. Some of these devices provide a Web-based user interface for settings or monitoring, such as Apache Web servers and PHP servers.

We have also verified that the attacker already hosts some variants for other architectures including ARM, PPC, MIPS and MIPSEL on the same server.

ARM_0.png

Figure: The “e_machine” value in ELF header indicates the worm is for ARM architecture.

These architectures are mostly used in the kinds of devices described above. The attacker is apparently trying to maximize the infection opportunity by expanding coverage to any devices running on Linux. However, we have not confirmed attacks against non-PC devices yet.

Vendors of devices with hidden operating systems and software, who have configured their products without asking users, have complicated matters. Many users may not be aware that they are using vulnerable devices in their homes or offices. Another issue we could face is that even if users notice vulnerable devices, no updates have been provided to some products by the vendor, because of outdated technology or hardware limitations, such as not having enough memory or a CPU that is too slow to support new versions of the software.

To protect from infection by the worm, Symantec recommends users take the following steps:

  1. Verify all devices connected to the network
  2. Update their software to the latest version
  3. Update their security software when it is made available on their devices
  4. Make device passwords stronger
  5. Block incoming HTTP POST requests to the following paths at the gateway or on each device if not required:
  • -/cgi-bin/php
  • -/cgi-bin/php5
  • -/cgi-bin/php-cgi
  • -/cgi-bin/php.cgi
  • -/cgi-bin/php4