新たなVPNFilterボットネットから身を守る

VPNFilterというボットネットが新たに報告されました。SCADA/ICS 環境を標的として、MODBUS SCADAプロトコルを監視し、ウェブサイトの認証情報を盗み出すもので、500,000台以上のルーターやネットワーク接続サーバーがすでに感染しています。また、標的とした単一のデバイスを使えない状態にするだけでなく、大規模な攻撃で感染させたすべてのデバイスも同時に使えない状態にできる、「ブリッキング(Bricking: レンガ化)」コンポーネントも含まれています。

先日、CiscoのTalos脅威リサーチチームから Cyber Threat Alliance(CTA)のメンバーに連絡があり、発見が報告されました。今回のように、責任を持って脅威インテリジェンスへの「早期警告」を行い、他の主要セキュリティリサーチャーたちと情報を共有することこそ、CTAが立ち上げられた理由です。これにより、脅威の詳細が公開される前に、参加するセキュリティベンダーが新たなリスクを把握し、必要な対応を取ることができます。また、フォーティネットなどのメンバーが、追加の詳細やコンテクストを見つけ出し、共有することも可能になります。

当初の調査では、VPNFilterはおそらく、国家の関与が疑われる高度なモジュール式のマルウェアシステムであり、主に家庭用ルーターやスモールビジネス向けルーター、NAS(Network-attached storage)を広範囲にわたり感染させたことが判明しています。今回のキャンペーンのアクティビティは当初、ウクライナの特殊な標的型攻撃で見られましたが、100か国以上において、デバイスがポート23、80、2000、8080でスキャンされていることがデータから判明し、脆弱なMikrotikデバイスやQNAP NASデバイスのスキャンもさらに行われると考えられます。


VPNFilterは3つのステージで展開

ステージ1では執拗さと冗長性が重視されており、再起動しても執拗に生き残ります。

ステージ2にはデータの窃取、ファイルの収集、デバイスの管理、そしてバージョンによっては自己破壊モジュールが含まれます。

ステージ3は様々なタスクを実行するモジュールで構成されています。現在、3つのモジュールが特定されていますが、他にも存在する可能性があります。これまでに判明しているモジュールは以下の通りです。

  1. トラフィックの分析とデータ窃取を行う可能性があるパケットスニッファー
  2. MODBUS SCADAプロトコルの監視
  3. 難読化したアドレスでTOR経由の通信

しかし、今回の攻撃における最大の脅威は、一挙に感染させられた全デバイスにおける自己破壊モードです。現在、どの程度のデバイスが侵害を受けたのかについて追加情報がないのですが、こうした機能がトリガーされることで、標的とする地域で広範囲にわたりインターネットの機能停止が起こる可能性があります。


脅威の緩和

侵害を受けた様々なIoTデバイスから防御することは、非常に困難です。こうしたデバイス、特に家庭用、スモールビジネス用の装置の多くは何のセキュリティも配備されず、直接インターネットに接続しているからです。つまり、デバイスのメーカーそれぞれがアップデートを提供する必要があるのですが、攻撃者たちはそれを追跡し、適応していくことができます。

このマルウェアの重大さから、FortiGuard Labsは影響を受ける可能性があるデバイスの更新をできるだけ速やかに行い、パッチが提供されていない場合は、影響を受けたデバイスを交換するなどの措置を取ることを推奨しています。

また、Talosでは以下の事項を推奨しています。

  • 破滅型、非永続型と考えられるステージ2、ステージ3のマルウェアを排除するため、SOHO向けルーターやNASデバイスの再起動を実施してください。影響を受けたSOHO向けルーターをユーザーに提供するインターネットサービスプロバイダーは、顧客に代わってルーターの再起動を行ってください。
  • この脅威に影響受けたことが判明しているデバイス、影響が疑われるデバイスを保有している場合には、メーカーと協力し、最新のパッチを適用してデバイスを最新の状態に保つことが重要です。まだ対処を行っていない場合は、速やかに最新のパッチを適用してください。
  • ISPは、デバイスのファームウェアやソフトウェアのバージョンを最新のものにするため、顧客と積極的に協力していくことが必要です。

FortiGateによるAVおよびIPS

既知のサンプルに関しては、Elf/Agent.1731!trとしてアンチウイルスの対応を行っています。

FortiGuardウェブフィルタリング:

Cyber Threat Alliance でのパートナーシップを通して最初のレポートを受け取っているため、Talosが指摘するURLはすべてブラックリストに登録済です。

IOC:

CTAのメンバーシップの一環として、この新たな脅威の公表前に私たちはサンプルおよびIOCを受け取りました。

ステージ1と関連するURI

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

ステージ2と関連するURI

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
91.200.13[.]76
91.214.203[.]144
6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
6b57dcnonk2edf5a[.]onion/bin32/update.php

ファイルハッシュ

ステージ1のマルウェア

50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

ステージ2のマルウェア

9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

ステージ3のプラグイン

f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719