Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Wi-FiルーターをハッキングするTrojan.Rbrute

2014年3月17日

株式会社Doctor Web Pacific


Doctor Webは、ブルートフォースを使用してWi-Fiルーターのアクセスパスワードを解読し、デバイスの設定で指定されているDNSサーバーアドレスを変更するマルウェアTrojan.Rbruteを発見しました。
犯罪者はこのマルウェアを使用して、Win32.Sectorとして知られるファイルインフェクターを拡散していました。

Windowsコンピューター上で起動されると、Trojan.Rbruteはリモートサーバーとの接続を確立し、送られてくるコマンドを待ちます。コマンドの中には、スキャンするIPアドレスの範囲が含まれています。このトロイの木馬がパスワードを解読することのできるルーターのモデルは次のとおりです:D-Link DSL-2520U、DSL-2600U、TP-Link TD-W8901G、TD-W8901G 3.0、TD-W8901GB、TD-W8951ND、TD-W8961ND、TD-8840T、TD-8840T 2.0、TD-W8961ND、TD-8816、TD-8817、TD-8817 2.0、TD-W8151N、TD-W8101G、ZTE ZXV10 W300、ZXDSL 831CII。このトロイの木馬は次の2つのコマンドを実行することができます。

  1. 指定されたIPアドレスの範囲を使用してネットワークをスキャンする
  2. 辞書攻撃を行う

これら2つのコマンドはそれぞれ独立したもので、トロイの木馬によって別々に実行されます。ネットワークスキャンによってアクティブなルーターが見つかった場合、Trojan.Rbruteはデバイスからwebページを抜き取り、タグ『realm=\"』を使用してデバイスモデルを判別し、リモートサーバーへ報告を送信します。

このトロイの木馬は、ルーターに対する辞書攻撃も実行することができます。コマンドには、ターゲットとなるIPアドレス、置き換えるDNSサーバーアドレス、パスワード辞書など攻撃に必要なデータが全て含まれています。Trojan.Rbruteはログインに『admin』または『support』を使用しています。

試行したパスワードの組み合わせによって認証を突破すると、トロイの木馬はハッキングに成功した旨をリモートサーバーに通知し、DNSサーバー設定で指定されているアドレスを変更するようルーターに指示を出します。その結果、ブラウザでサイトを開こうとしたユーザーは、犯罪者の作成した別のサイトへとリダレクトされます。現在、この手法はWin32.Sectorボットネットを拡大するために使用されています。

感染の手法は以下のとおりです。

  1. すでにWin32.Sectorに感染しているコンピューター上で、Win32.SectorがTrojan.Rbruteをダウンロードする。
  2. Trojan.RbruteはWi-Fiルーターを検索するためのコマンドと辞書パスワードをリモートサーバーから受け取る。
  3. 成功すると、Trojan.RbruteによってルーターのDNSサーバー設定が変更される。
  4. 別の「感染していない」コンピューターのユーザーが感染したルーター経由でインターネットに接続を試みると、犯罪者によって作成されたwebページへとリダレクトされる。
  5. そのページからWin32.Sectorがダウンロードされ、コンピューターを感染させる。
  6. 続けて、感染したコンピューター上にWin32.SectorがTrojan.Rbruteをダウンロードし、このサイクルが繰り返される。

Dr.WebウイルスデータベースにはTrojan.Rbruteのシグネチャが既に追加されています。また、Wi-Fiルーターを使用されているユーザーの方には、そのデフォルトの設定を変更し、ブルートフォース攻撃によって突破されないような、より堅固なパスワードを使用することを推奨します。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F