Webカメラハッキングツールに仕込まれた「罠」

『Security Affairs』

November 15, 2017 08:00
by 『Security Affairs』

ハッカー初心者は無料のハッキングツールを利用する際は気をつけてほしい。それらの多くはペテンだからだ。ここ最近、セキュリティ専門家たちは「バックドアがこっそり仕込まれた偽のハッキングツール」の事例を何度か報告していた。たとえば偽物のFacebookハッキングツールCobian RATなどだ。

そして今回、NewSky Securityのセキュリティ研究者Ankit Anubhavは、「バックドアが仕掛けられた新たなツール」がいくつかの地下ハッキングフォーラムで提供されているのを発見した。このハッキングツールは、脆弱なバージョンの組み込み型「GoAhead WebServer」を利用している、脆弱なIPカメラをインターネットでスキャンすることができる、無料のPHPスクリプトだ。

「脆弱なバージョンの組み込み型GoAhead WebServerを採用しているIoTデバイスが、地下のフォーラムで注目を集めている。これは『CVE-2017-8225などの脆弱性を悪用してハッキングできるIPカメラ』が多数出回っていることが原因であり、ボットネット『IoTroop/Reaper』はすでに、この脆弱性を活用している」と、Anubhavはブログ記事で述べている。

「我々は2017年10月22日に、とあるサイト(いかがわしいながらも人気があり、IoTボットネットのスクリプトを提供することもあるサイト)で新たなコードが提供されているのを発見した。この『NEW IPCAM EXPLOIT』と名付けられたスクリプトは、スクリプトキディたちに『脆弱な組み込み型のGoAhead WebServerを利用している可能性のあるIoTデバイス』を見つけさせ、楽にハッキングができるようにすると宣伝していた」

AnubhavがNEW IPCAM EXPLOITを分析したところ、このツールには「利用したワナビーの犯罪者たち」をハッキングするコードが含まれていた。つまりスクリプトキディがボットネットを所有して、ペテン師たちがそれを乗っ取るために、このツールは利用されるということになる。

NEW IPCAM EXPLOITは「GoAhead-Webs」というバナーをチェックして、組み込みのGoAhead WebServerを使用するデバイスをスキャンする。そのスクリプトの最後には、シェルスクリプトを利用したバックドアのスクリプトがあった。それは悪意を持ったサーバーに接続して第二段階のスクリプトをダウンロードし、実行するものであった。

NEW IPCAM EXPLOITの「IoTスキャン」のスクリプトは、4つのステップで働く
 
(1)このスクリプトは、認証バイパスの脆弱性「CVE-2017-8225」の影響を受けるGoAhead WebServerを求めてIPアドレスをスキャンする。この脆弱性は、ワイヤレスIPカメラ(P2P)無線LANカメラ・デバイスに影響するものだ。
 
(2)このスクリプトは、ワナビーのサイバー犯罪者たちのシステム上に、ユーザーアカウント(ユーザー名:VM、パスワード:Meme123)を作成して、隠されたバックドアを確立する。そのペテン師は、被害者と同じ権限を得ることになる。
 
(3)感染したシステムにリモートアクセスするため、このスクリプトはワナビーのハッカーのIPアドレスを確認する。
 
(4)このスクリプトは被害者のシステム上で「第2のペイロード」を実行し、場合によってはKaitenボットをインストールする。

より詳しい調査を行った『Bleeping computers』の専門家たちは、このスクリプトの作者が以前にも「バックドアの仕掛けられたハッキングツール」をオンラインに公開していたことを報告した。

「このバックドアの作成者が利用している複数のIDを詳しく調査した。その結果、この人物がバックドアの仕掛けられたマルウェアを公開したり、他のハッカーたちとオンラインで争ったりしたのは今回が初めてではない、ということも判明した。だからこそAnubhavは、そのハッカーの名前で特定したファイルを発見したのかもしれない」とBleepingcomputerは報告している
 
翻訳:編集部
原文:Hack the hackers. Watcha out the NEW IPCAM EXPLOIT, it is a scam!
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

今年の9月に掲載した、SecurityAffairsの記事「ダークウェブに巣食う「クロサギ」 闇市場で売られているRAT「Cobian」にバックドア」と同様に、サイバー犯罪者を狙った「攻撃ツールにマルウェア」が仕込まれていた事件だ。

SecurityAffairsの記事では触れていないがAnubhav氏のブログには、攻撃者視点で考えるとスクリプトキディ(=自分ではプログラムを書けず、他人が書いたプログラムを使いサイバー攻撃やイタズラする輩の俗称)をターゲットにするのは効率的だ、と述べている。なぜならIoTカメラのハッキングツールに興味があるスクリプトキディであれば、サイバー攻撃に利用する素材や管理しているボットネットワークの認証情報、漏洩データなどを持っている可能性が高いためだ。今回のマルウェアにうまく感染させれば、スクリプトキディが利用しているボットネットを、攻撃者が自由にコントロールすることができる。

筆者がハッキングフォーラムを観察していると、スクリプトキディやハッキングに興味がある初心者は、好奇心が強いユーザーが多いように感じる。彼らは他のユーザーから紹介されたハッキングツールを試して、その感想や質問を書き込んでいる。外部から見ているとハラハラする行為だが、彼らは試さずにはいられないのだろう。攻撃者にとって価値が高いデジタル資産も所持しているスクリプトキディは、ますます狙われ続けるだろう。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…