2014年3月17日

株式会社Doctor Web Pacific

Doctor Webは、ブルートフォースを使用してWi-Fiルーターのアクセスパスワードを解読し、デバイスの設定で指定されているDNSサーバーアドレスを変更するマルウェアTrojan.Rbruteを発見しました。
犯罪者はこのマルウェアを使用して、Win32.Sectorとして知られるファイルインフェクターを拡散していました。

Windowsコンピューター上で起動されると、Trojan.Rbruteはリモートサーバーとの接続を確立し、送られてくるコマンドを待ちます。コマンドの中には、スキャンするIPアドレスの範囲が含まれています。このトロイの木馬がパスワードを解読することのできるルーターのモデルは次のとおりです：D-Link DSL-2520U、DSL-2600U、TP-Link TD-W8901G、TD-W8901G 3.0、TD-W8901GB、TD-W8951ND、TD-W8961ND、TD-8840T、TD-8840T 2.0、TD-W8961ND、TD-8816、TD-8817、TD-8817 2.0、TD-W8151N、TD-W8101G、ZTE ZXV10 W300、ZXDSL 831CII。このトロイの木馬は次の2つのコマンドを実行することができます。

1. 指定されたIPアドレスの範囲を使用してネットワークをスキャンする
2. 辞書攻撃を行う

これら2つのコマンドはそれぞれ独立したもので、トロイの木馬によって別々に実行されます。ネットワークスキャンによってアクティブなルーターが見つかった場合、Trojan.Rbruteはデバイスからwebページを抜き取り、タグ『realm=\"』を使用してデバイスモデルを判別し、リモートサーバーへ報告を送信します。

このトロイの木馬は、ルーターに対する辞書攻撃も実行することができます。コマンドには、ターゲットとなるIPアドレス、置き換えるDNSサーバーアドレス、パスワード辞書など攻撃に必要なデータが全て含まれています。Trojan.Rbruteはログインに『admin』または『support』を使用しています。

試行したパスワードの組み合わせによって認証を突破すると、トロイの木馬はハッキングに成功した旨をリモートサーバーに通知し、DNSサーバー設定で指定されているアドレスを変更するようルーターに指示を出します。その結果、ブラウザでサイトを開こうとしたユーザーは、犯罪者の作成した別のサイトへとリダレクトされます。現在、この手法はWin32.Sectorボットネットを拡大するために使用されています。

感染の手法は以下のとおりです。

1. すでにWin32.Sectorに感染しているコンピューター上で、Win32.SectorがTrojan.Rbruteをダウンロードする。
2. Trojan.RbruteはWi-Fiルーターを検索するためのコマンドと辞書パスワードをリモートサーバーから受け取る。
3. 成功すると、Trojan.RbruteによってルーターのDNSサーバー設定が変更される。
4. 別の「感染していない」コンピューターのユーザーが感染したルーター経由でインターネットに接続を試みると、犯罪者によって作成されたwebページへとリダレクトされる。



5. そのページからWin32.Sectorがダウンロードされ、コンピューターを感染させる。
6. 続けて、感染したコンピューター上にWin32.SectorがTrojan.Rbruteをダウンロードし、このサイクルが繰り返される。

Dr.WebウイルスデータベースにはTrojan.Rbruteのシグネチャが既に追加されています。また、Wi-Fiルーターを使用されているユーザーの方には、そのデフォルトの設定を変更し、ブルートフォース攻撃によって突破されないような、より堅固なパスワードを使用することを推奨します。