悪名高いIoTボットネットの終焉。Moziを解体したのは誰?

この記事をシェア

最も拡散しているボットネットの1つをテイクダウンするために使用されたキルスイッチを、ESET社がどのように見つけたか解説します。

本記事はESET Japanが提供する「ESETブログ」に掲載された「Moziをテイクダウンしたのは誰? IoTを標的とするMoziボットネットの活動が急減か?」を再編集したものです。

悪名高いIoTボットネットの終焉。Moziを解体したのは誰?

毎年何十万台ものIoTデバイスの脆弱性を攻撃してきた悪名高いMoziボットネットの活動が、2023年8月に突如として停止したことは、誰も予測できなかったのではないでしょうか。Moziボットネットの多くの機能が停止した状況は、2023年8月8日にインドで初めて観測され、その1週間後の8月16日には中国でも観測されました。

図1. Moziの活動の急激な減少:全世界(上)、インド(中)、中国(下)

図1. Moziの活動の急激な減少:全世界(上)、インド(中)、中国(下)

この急激な減少をESET社が調査したところ、2023年9月27日にキルスイッチを特定することができました。ESET社は、BitTorrentの分散型スローピーハッシュテーブル(BT-DHT)プロトコルの一般的なカプセル化が行われていないUDPメッセージ内に、制御ペイロード(構成ファイル)が存在していることを特定しました。このテイクダウンの背後にいる人物は、この制御ペイロードを8回送信していますが、毎回HTTP経由でアップデートをダウンロードしてインストールするようにボットに指示しています。

このキルスイッチは、以下のいくつかの機能を実行します。

  • 親プロセス、つまり元のMoziマルウェアを停止します
  • sshdやdropbearなど、いくつかのシステムサービスを無効にします
  • 元のMoziファイルを自身のファイルに置換します
  • いくつかのルーターやデバイスの設定コマンドを実行します
  • さまざまなポートへのアクセスを無効にします(iptables -j DROP)
  • 置換した元のMoziファイルと同じように攻撃の足掛かりを構築します

制御ペイロードには2つのバージョンがあり、最新のバージョンは、最初のバージョンを加えた二重構造(エンベロープ)になっており、リモートサーバーにpingを送信する機能を追加するなど、統計上の目的と考えられる細かな修正が行われています。

Moziボットネットの機能は大幅に削減されましたが、その活動は継続しており、意図的かつ計算された行為であることを示しています。ESET社がこのキルスイッチを分析したところ、ボットネットの元のソースコードと最近使用されたバイナリの間に強い関連性があることが確認され、制御ペイロードの署名に正しい秘密鍵が使用されていることがわかりました(図2参照)。

図 2. 元のMoziの検体のコードスニペット(左)と、2023年に確認されたキルスイッチの検体(右)

図 2. 元のMoziの検体のコードスニペット(左)と、2023年に確認されたキルスイッチの検体(右)

図3. 元のMoziの検体(左)と、2023年に確認されたキルスイッチの検体(右)の制御フローの図

図3. 元のMoziの検体(左)と、2023年に確認されたキルスイッチの検体(右)の制御フローの図

このことから、Moziボットネットの作成者、または、このボットネット作成者の協力を強要している中国の法執行機関が、このテイクダウンを開始している可能性があります。インドのボットに続いて中国のボットが標的になっていることから、インドを最初に、中国を1週間後に標的として、計画的にテイクダウンが実施された可能性があります。

図

最も拡散しているIoTボットネットが終了する今回の事案は、サイバーフォレンジックの観点からも調査すべき重要なケースであり、実環境で拡散したこのようなボットネットがどのように作成、運用、解体されるかについて有用な技術的な情報をもたらす可能性があります。ESET社は、このMoziのテイクダウンについて引き続き調査を行っており、今後数ヶ月以内に詳細な分析を発表する予定です。しかし、現時点でMoziを解体したのは誰か、その疑問は謎のままです。

IOC(セキュリティ侵害の痕跡)

ファイル

SHA-1 ファイル名 検出 説明
758BA1AB22DD37F0F9D6FD09419BFEF44F810345 mozi.m Linux/Mozi.A 元のMoziボット
9DEF707F156DD4B0147FF3F5D1065AA7D9F058AA ud.7 Linux/Mozi.C Moziボットのキルスイッチ

ネットワーク

IP ドメイン ホスティングプロバイダー 最初に確認された日付 詳細
157.119.75[.]16 N/A AS135373 EFLYPRO-AS-AP EFLY NETWORK LIMITED 2023年9月20日 キルスイッチをホスティングするサーバー

MITRE ATT&CKの技術

この表は、MITRE ATT&CKフレームワークのバージョン13を使用して作成されています。

手法 ID 名前 説明
リソース開発 T1583.003 インフラストラクチャの取得:仮想プライベートサーバー Moziキルスイッチのオペレータは、eflycloud.comのサーバーをレンタルして、アップデートファイルをホストしていました
Moziのキルスイッチのオペレータは、BT-DHT(分散ハッシュテーブル)ネットワークでペイロードを送信する複数のサーバーをレンタルしていました
初期アクセス T1190 インターネットに接続するアプリケーションの攻撃 Moziのキルスイッチのオペレータは、BT-DHTネットワーク上にあるMoziクライアントにアップデートコマンドを送信します
常駐化 T1037.004 ブートまたはログオン初期化スクリプト:RCスクリプト このキルスイッチは、/etc/rc.d/rc.localなどのいくつかのスクリプトを作成し、常駐化します
情報の外部への送信 T1048.003 代替プロトコルを使用したデータの外部への送信:既存のC2プロトコルではなく、暗号化されていないネットワークトラフィックを介したデータの外部への送信 このキルスイッチは、ICMP pingをオペレータに送信していますが、これは監視目的と考えられます
影響 T1489 サービスの停止 このキルスイッチはSSHサービスを停止し、iptablesを使用してアクセスをブロックします
この記事をシェア

ゼロデイ攻撃のセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!