SSDPの応答情報を活用したMirai亜種感染機器の特定方法(2018-02-15)

マルウエアMiraiおよびその亜種に感染した機器は、巨大なボットネットを構成し、DDoS攻撃などの攻撃プラットフォームとして使用されます。

JPCERT/CCでは、2016年よりMiraiおよび亜種について感染活動の観測・調査を行い、国内外における感染拡大の防止に努めています。2017年10月30日より、国内でMirai亜種の感染が広がっていることを確認し、12月19日に注意喚起を発行しました。この注意喚起を発行するにあたり、機器ベンダーと協力し、感染した機器を特定する調査を進めました。今回は、その調査方法の一部を紹介します。

外部観測と初動調査
2017年10月末より国内で確認されたMirai亜種に感染した機器は、グローバルIPアドレスに対して23/TCP, 2323/TCP のスキャン活動を行っていました。JPCERT/CC の定点観測システム(TSUBAME)では、そのスキャン活動と機器のIPアドレスを確認しました。[1]

それらのIPアドレスを、国内外のセキュリティ研究組織から提供されたネットワークスキャンの調査結果と照合すると、多くのIPアドレスはインターネットからSimple Service Discovery Protocol(SSDP)のサービスへ通信ができる状態であったことが判明しました。

SSDPの応答情報 によるMACアドレスの特定方法
SSDPはUniversal Plug and Play(UPnP)で使用されるプロトコルで、一般的に1900/UDP を用います。UPnPでは、SSDPは同一ネットワーク内に存在する端末を探索するために利用されます。SSDPのデバイス探索における通信の一部を図1に示します。

図 1:SSDPのデバイス探索における通信(一部)

SSDPでは、クライアントが問い合わせ(M-SEARCH)を送信し、問い合わせを受けた機器はNOTIFYを返送します。

NOTIFYには、機器に関する情報が記述されていて、その一部にUniversally Unique Identifier(UUID)が含まれます。UUIDとは、ソフトウェア上でオブジェクトを一意に識別するための識別子です。現在、5つのバージョンが定義[2]されており、バージョン1ではタイムスタンプとMACアドレスをもとにUUIDを生成します。図2がUUIDバージョン1のデータ構造です。

図 2:UUIDバージョン1の構造

UUIDバージョン1が使われる場合、UUIDの下12桁にMACアドレスが使用されるため、SSDPの応答情報からMACアドレスを特定できます。また、MACアドレスの上位3オクテットに記述されるベンダーIDを調べることで、機器ベンダーも特定できます。

Mirai亜種に感染した機器の特定と対応
2017年10月末より国内で確認されたMirai亜種に感染した機器の多くは、SSDPサービスをインターネットに公開し、UUIDバージョン1を使用していたため、MACアドレスと機器ベンダーを特定できました。特定したMACアドレスとTSUBAMEのセンサーが観測したデータをもとに、機器ベンダーと対応を進めた結果、感染した機器の特定に至り、関係機関と注意喚起を発行しました。
また、現在も、感染した機器を保有している組織が特定できた場合には端末の調査・対応措置を依頼し、感染拡大の防止を継続して呼び掛けています。

まとめ
SSDPの応答情報を活用し、Miraiの亜種に感染した機器を特定した方法を紹介しました。SSDPポートを不用意にインターネットへ公開すると、DDoS攻撃に悪用される危険性[3]や、UPnPの脆弱性を狙われる可能性[4][5]があります。UPnP機能を搭載した機器をご利用の皆さまには、ファームウエアを最新に維持する、UPnPのサービスをインターネット側に公開しない、UPnP機能を利用しない場合には無効化するなどの対策をおすすめします。

インシデントレスポンスグループ 谷 知亮

参考情報
[1]インターネット定点観測レポート(2017年 10~12月) [JPCERT/CC]
https://www.jpcert.or.jp/tsubame/report/report201710-12.html
[2]RFC 4122: A Universally Unique IDentifier (UUID) URN Namespace
https://tools.ietf.org/html/rfc4122
[3]Alert (TA14-017A) UDP-Based Amplification Attacks [US-CERT]
https://www.us-cert.gov/ncas/alerts/TA14-017A
[4]JVNVU#357851 UPnP 対応の複数のルータにアクセス制限不備の脆弱性
https://jvn.jp/vu/JVNVU357851/
[5]JVNVU#99671861 UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
https://jvn.jp/vu/JVNVU99671861/

≪ 前へ
トップに戻る
次へ ≫