Webカメラハッキングツールに仕込まれた「罠」

『Security Affairs』

November 15, 2017 08:00
by 『Security Affairs』

ハッカー初心者は無料のハッキングツールを利用する際は気をつけてほしい。それらの多くはペテンだからだ。ここ最近、セキュリティ専門家たちは「バックドアがこっそり仕込まれた偽のハッキングツール」の事例を何度か報告していた。たとえば偽物のFacebookハッキングツールCobian RATなどだ。

そして今回、NewSky Securityのセキュリティ研究者Ankit Anubhavは、「バックドアが仕掛けられた新たなツール」がいくつかの地下ハッキングフォーラムで提供されているのを発見した。このハッキングツールは、脆弱なバージョンの組み込み型「GoAhead WebServer」を利用している、脆弱なIPカメラをインターネットでスキャンすることができる、無料のPHPスクリプトだ。

「脆弱なバージョンの組み込み型GoAhead WebServerを採用しているIoTデバイスが、地下のフォーラムで注目を集めている。これは『CVE-2017-8225などの脆弱性を悪用してハッキングできるIPカメラ』が多数出回っていることが原因であり、ボットネット『IoTroop/Reaper』はすでに、この脆弱性を活用している」と、Anubhavはブログ記事で述べている。

「我々は2017年10月22日に、とあるサイト(いかがわしいながらも人気があり、IoTボットネットのスクリプトを提供することもあるサイト)で新たなコードが提供されているのを発見した。この『NEW IPCAM EXPLOIT』と名付けられたスクリプトは、スクリプトキディたちに『脆弱な組み込み型のGoAhead WebServerを利用している可能性のあるIoTデバイス』を見つけさせ、楽にハッキングができるようにすると宣伝していた」

AnubhavがNEW IPCAM EXPLOITを分析したところ、このツールには「利用したワナビーの犯罪者たち」をハッキングするコードが含まれていた。つまりスクリプトキディがボットネットを所有して、ペテン師たちがそれを乗っ取るために、このツールは利用されるということになる。

NEW IPCAM EXPLOITは「GoAhead-Webs」というバナーをチェックして、組み込みのGoAhead WebServerを使用するデバイスをスキャンする。そのスクリプトの最後には、シェルスクリプトを利用したバックドアのスクリプトがあった。それは悪意を持ったサーバーに接続して第二段階のスクリプトをダウンロードし、実行するものであった。

NEW IPCAM EXPLOITの「IoTスキャン」のスクリプトは、4つのステップで働く
 
(1)このスクリプトは、認証バイパスの脆弱性「CVE-2017-8225」の影響を受けるGoAhead WebServerを求めてIPアドレスをスキャンする。この脆弱性は、ワイヤレスIPカメラ(P2P)無線LANカメラ・デバイスに影響するものだ。
 
(2)このスクリプトは、ワナビーのサイバー犯罪者たちのシステム上に、ユーザーアカウント(ユーザー名:VM、パスワード:Meme123)を作成して、隠されたバックドアを確立する。そのペテン師は、被害者と同じ権限を得ることになる。
 
(3)感染したシステムにリモートアクセスするため、このスクリプトはワナビーのハッカーのIPアドレスを確認する。
 
(4)このスクリプトは被害者のシステム上で「第2のペイロード」を実行し、場合によってはKaitenボットをインストールする。

より詳しい調査を行った『Bleeping computers』の専門家たちは、このスクリプトの作者が以前にも「バックドアの仕掛けられたハッキングツール」をオンラインに公開していたことを報告した。

「このバックドアの作成者が利用している複数のIDを詳しく調査した。その結果、この人物がバックドアの仕掛けられたマルウェアを公開したり、他のハッカーたちとオンラインで争ったりしたのは今回が初めてではない、ということも判明した。だからこそAnubhavは、そのハッカーの名前で特定したファイルを発見したのかもしれない」とBleepingcomputerは報告している
 
翻訳:編集部
原文:Hack the hackers. Watcha out the NEW IPCAM EXPLOIT, it is a scam!
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

今年の9月に掲載した、SecurityAffairsの記事「ダークウェブに巣食う「クロサギ」 闇市場で売られているRAT「Cobian」にバックドア」と同様に、サイバー犯罪者を狙った「攻撃ツールにマルウェア」が仕込まれていた事件だ。

SecurityAffairsの記事では触れていないがAnubhav氏のブログには、攻撃者視点で考えるとスクリプトキディ(=自分ではプログラムを書けず、他人が書いたプログラムを使いサイバー攻撃やイタズラする輩の俗称)をターゲットにするのは効率的だ、と述べている。なぜならIoTカメラのハッキングツールに興味があるスクリプトキディであれば、サイバー攻撃に利用する素材や管理しているボットネットワークの認証情報、漏洩データなどを持っている可能性が高いためだ。今回のマルウェアにうまく感染させれば、スクリプトキディが利用しているボットネットを、攻撃者が自由にコントロールすることができる。

筆者がハッキングフォーラムを観察していると、スクリプトキディやハッキングに興味がある初心者は、好奇心が強いユーザーが多いように感じる。彼らは他のユーザーから紹介されたハッキングツールを試して、その感想や質問を書き込んでいる。外部から見ているとハラハラする行為だが、彼らは試さずにはいられないのだろう。攻撃者にとって価値が高いデジタル資産も所持しているスクリプトキディは、ますます狙われ続けるだろう。




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…

王室ファミリーやセレブも愛用? 英国美容整形クリニックがハッキングされデータ流出

November 8, 2017 08:00

by 江添 佳代子

英国を拠点とする美容整形外科がハッキングされ、数多くの患者の写真が奪われた。その事件を2017年10 月23日に報じたのは、犯人から写真の一部を送りつけられた米国のニュースサイト『The Daily Beast』の記者だった。 被害を受けた「London Bridge Plastic Surgery…