threat-research

Bushidoボットネットを活用した DDoS攻撃サービス

サイバー闇市場では、分散型サービス拒否(DDoS)サービスが増加を続けています。その多くは、正当な「ブーター」または「ストレサー」サービスと偽って提供されています。犯罪サービス(Crime-as-a-Service)というこの比較的新しいトレンドによって、新米のDDoS攻撃者でも攻撃に参加することが可能になりました。わずかな料金を支払うだけで、ほぼすべてのWebサイトを匿名で攻撃してオフラインに追い込むことができる簡単なオプションが提供されているのです。

残念ながら、一部の主要なボットのソースコードが公開されているため、こうしたサービスを提供するボットネットを構築することはかつてより簡単になっています。Googleで手早く検索しただけで、ボットネットビルダーのリソースのリストを取得できます。そしてほとんどのリソースに完全な使用方法の説明書が付属しています。ソースコードは再利用でき、変更も可能なので、サイバー犯罪者は新しい機能を実装した独自のバージョンを作成することもできます。

注:Miraiコードの再利用方法と、Miraiコードが他のボットネットの開発にどのような影響を与えるかに興味をお持ちの方は、Botconf 2018で開催されるプレゼンテーション「Mirai:Beyond the Aftermath」に是非ご参加ください。フランスのトゥールーズで2018年12月4~8日まで開催されるBotconf 2018では、このプレゼンテーションをはじめさまざまなイベントが実施されます。


Ox-booter

先日FortiGuard Labsチームは、通常のモニタリング作業中に、有料のDDoSサービスを提供する「0x-booter」と呼ばれる新しいプラットフォームを発見しました。2018年10月17日に初めて登場した0x-booterは、Webサイトにサインアップすれば誰でも使用可能です。次の図に示すように、このサービスは明確に定義されたユーザーインターフェイスを備えているため、実質誰でもこのサービスについて理解して使用を開始できます。

図1. 0x-booterのFacebookへの投稿

図1. 0x-booterのFacebookへの投稿

ログインすると、プロファイル情報、他機能へのナビゲーション、攻撃データの概要、ボットネットの詳細情報が含まれるダッシュボードが表示されます。0x-booterのFacebook投稿では、500 Gbps以上の攻撃力、20,000以上のボット数と宣伝されています。WebサイトKrebsOnSecurityへのDDoS攻撃の場合は、ピーク時に620 Gbpsに達し、このサイトをオフラインに追い込むことに成功しました。つまり、500Gbpsのトラフィックサイズは、多くのWebサイトをオフラインにするのに十分であると言えます。私たちの分析中には、開発者のFacebook投稿の宣伝と同じデータは得られませんでした。分析でのネットワーク速度は424.825 Gbps、接続されていたボットは数16,993でしたが、ほとんどの場合はこれで十分に目的を達成することができます。

図2. 0x-booterダッシュボード

図2. 0x-booterダッシュボード

他の有料DDoSサービスと同様に、このDDoS攻撃はWebユーザーインターフェイスを介して開始されます。したがって、攻撃者とボットマスターが直接接触することはありません。以下に示す攻撃ハブインターフェイスでは、ホストまたはドメイン、ポート、攻撃の期間、攻撃のタイプの詳細を、攻撃開始前に設定できます。

図3. 攻撃ハブ

図3. 攻撃ハブ

ユーザーは、以下のような攻撃を選択することができます。DDoS攻撃は、主にOSIモデルのレイヤ4およびレイヤ7、つまりトランスポート層とアプリケーション層を標的とします。

図4. 攻撃オプション

図4. 攻撃オプション

0x-booterサービスの料金は20~150ドルで、攻撃数、攻撃期間、およびカスタマーサポートの使用状況によって異なります。今日のサイバー犯罪経済では、悪質な意図を持つ人物が数ドルの料金を支払うだけで、実質上あらゆるターゲットに相当の損害を与えることが可能なのです。

図5. サブスクリプション料金

図5. サブスクリプション料金


サーバーの状況

この作者は、Uptime Robotを使用して0x-booter Webサイトのステータスだけでなく、Loadingサーバー、Miraiサーバー、スキャニングサーバーなどの他のサーバーも監視しています。以下は、本ブログ執筆までの7日間の詳しい状況です。このサイトは10月23日に一時的な中断がありましたが、ほとんどの日は100%オンラインでした。

図6. サーバーのアップタイム

図6. サーバーのアップタイム

このWebサイトをさらに分析すると、2つの興味深いJSONファイルを発見することができました。

  • typeattack.php - このファイルには、使用可能なすべてのDDoSメソッドのリストと、実行された攻撃数が含まれています。
  • dateattack.php - このファイルには、日付のリストと、1日に実施された全攻撃メソッド数が含まれています。

これらのファイルの内容が信頼できるものであれば、10月14日にこのサーバーが初めてオンラインになって以来、このサイトからすでに300以上の攻撃が実行されていることになります。

図7. 攻撃数

図7. 攻撃数


Bushidoボットネット

サンプル:1e16db506c1b8376f8998907d75a4353c798530889224e5cfa8b21a36561a21f

私たちの分析で確認されたように、実はBushidoは0x-booter DDoS攻撃サービスを支えているボットネットです。私たちがBushidoを発見したのは2018年9月17日で、このボットネットは単にMiraiボットネットを修正したものだというのが当時の見解でした。しかし、その後わずか1ヵ月で、このボットネットはDDoS攻撃サービスとして使用され、0x-booterを通じて収益を生成するようになりました。

図8. bushidoボットネットの最初の発見

図8. bushidoボットネットの最初の発見

ハニーポットを利用することにより、私たちは新しいサンプルの新しいダウンロード用URLを収集できましたが、その後の分析で、これらは元のファイルから大幅に変更されていない再ハッシュされたサンプルに過ぎないことがわかりました。収集したダウンロード用URLのうち、3つはロシアのURL、1つはZullSecによって侵害されたURLでした。

図9. Bushidoボットネットのダウンロード用URL

図9. Bushidoボットネットのダウンロード用URL

ZullSe背後のエンティティは、DDoS攻撃サービスを提供するだけでなく、Webサイトを侵害し、マルウェアをホストするために現在このサイトを使用しています。

図10. Zullによって侵害されたWebサイト

図10. Zullによって侵害されたWebサイト

次に、元のMiraiコードとBushidoコードの主な違いの例を紹介します。

  1. Bushidoボットネットは、異なるユーザー名とパスワードの組み合わせを使用しています。そのため、Miraiの影響を受けていない他の脆弱なデバイスを標的にすることができます。

    図11. ユーザー名とパスワードのリスト

    図11. ユーザー名とパスワードのリスト

  2. Miraiの亜種は、より多くのデバイスを標的にするためにエクスプロイトを追加してきました。Bushidoの場合は、以下の脆弱性も活用することでより多くのデバイスを標的にします。
    脆弱性 影響を受けるデバイス
    CVE-2018-10561 Dasan GPONルーター
    CVE-2017-17215 Huawei HG532
    CVE-2014-8361 Realtek SDKとminiigdデーモンを使用するデバイス
    Eir WAN Side リモートコマンドインジェクション D1000ワイヤレスルーター

    表1. 脆弱性のリスト

  3. 構成テーブルの復号化に使用されるXor Keyシードが異なります。Miraiのシードは0xDEADBEEF、Bushidoのシードは0xBAADF00Dです。
  4. Miraiのソースコードのkiller_kill_by_port関数は、特定のポートをリスンすることによりサービスのPIDを確認し、その後そのサービスを終了します。Miraiで確認するのは22、23、および80番ポートのみですが、Bushidoでは29個の異なるポートを確認します。

    図12. ポートのリスト

    図12. ポートのリスト

  5. Miraiの定義済み攻撃オプションは10個ですが、Bushidoには13個の攻撃オプションがあります。以下に、Bushidoに実装されている新しいDDoSメソッドを示します。
    • attack_app_cfnull - この攻撃の未定義の関数がMiraiで確認できます。GET/POSTフラッドに似たこの攻撃は、大型のジャンクペイロードを送信するように設計されており、標的サーバーのリソースを消費します。
    • attack_method_std - この関数は、無作為に選ばれた1024バイトのペイロードとターゲットへの送信パケットで構成されています。
    • attack_method_tcpxmas - この関数は、All TCP Flags Floodおよびクリスマスツリーパケットとも呼ばれます。その名が示すように、この関数はすべてのフラグを設定してTCPパケットを送信することにより、ターゲットのコンピューティングリソースをより多く消費させ、帯域幅を飽和させます。
    さらに調査を進めると、やはりMiraiの亜種と考えられているOwariボットネットがソースコードを公開していること、そしてそのソースコードにこれらの新しいDDoSメソッドが含まれていることが判明しました。
    *攻撃数は、図04の0x-booter Webサイトに記載されている攻撃と一致しました。

    図13. Miraiとbushidoの攻撃オプション

    図13. Miraiとbushidoの攻撃オプション

  6. Bushidoは、感染したデバイス上で実行されている唯一のプロセスになるために、以下の既知のボット名のプロセスを終了させます。

    pkill -9 X19I239124UIU、pkill -9 BA8Ca、pkill -9 NiGGeR69xd、pkill -9 1337SoraLOADER、pkill -9 dvrHelper、pkill -9 NiGGeRd0nks1337、pkill -9 X19I239124UIU、pkill -9 IuYgujeIqn、pkill -9 14Fa、pkill -9 ccAD、pkill -9 BOGOMIPS、pkill -9 g1abc4dmo35hnp2lie0kjf、pkill -9 PRIVMSG、pkill -9 GETLOCALIP、pkill -9 KILLATTK、pkill -9 Eats8、pkill -9 v[0v、pkill -9 93OfjHZ2z、pkill -9 WsGA4@F6F、pkill -9 ACDB、pkill -9 AbAd、pkill -9 iaGv、pkill -9 BzSxLxBxeY

ボットネットのコピー&ペースト、Webサイトのコピー&ペースト

Webサイトとボットネット両方の分析後、私たちは使用されているコードがオープンソースからコピー&ペーストされ、独自の目的のために修正されていることを発見しました。実際、0x-booter Webサイトは、Ninjabootと呼ばれる別のブーター/ストレサーをベースとしています。そのソースコードは昨年のハッキングフォーラムで公開されています。Bushidoボットネットには独自の名前がありますが、Miraiから多くのコードを借用しているためMiraiの亜種と考えられています。


まとめ

Bushidoボットネットにより、Miraiのコードを単純に修正することで、販売可能なDDoS攻撃サービス構造を維持できることが実証されました。数回のクリック、わずかな料金、ボットネットに関するわずかな知識だけで、サイバー犯罪者志望者は大規模なボットネットを活用し、大きな損害をもたらすことができるのです。


ソリューション

フォーティネットでは、このサンプルをLinux/Mirai.B!tr and Linux/Mirai.BR!trとして検出しました。

フォーティネットのWebフィルターサービスは、Bushidoボットネットのすべての悪意のあるURLをブロックします。

ここで説明した攻撃は、次のIPSシグネチャを通じて対応しています。

Dasan.GPON.Remote.Code.Execution
Huawei.HG532.Remote.Code.Execution
D-Link.Realtek.SDK.Miniigd.UPnP.SOAP.Command.Execution
Eir.D1000.Modem.CWMP.Command.Injection

-= FortiGuard Lionチーム=-


IOC

1e16db506c1b8376f8998907d75a4353c798530889224e5cfa8b21a36561a21f - Linux/Mirai.B!tr
cd9d823b0f1ce2cf7b89d3a705d1b28f7c7874dbf0409a9111220cf42e94bcb4 - Linux/Mirai.BR!tr

ダウンロード用URL:

176.32.33.123/vi/<architecture>.bushido
46.29.163.168/vi/<architecture>.bushido
46.17.43.229/vi/<architecture>.bushido
194.36.173.4/vi/<architecture>.bushido
194.36.173.4/exploit/<architecture>.exploit

最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。

FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。