Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、IoT向けのLinuxを標的とするトロイの木馬に関する概要を報告

2016年10月17日

株式会社Doctor Web Pacific


Linux OSは、セットトップボックスやネットワークレポジトリ、ルーター、監視カメラなど多くの一般消費者向けデバイスに搭載されています。そして、これらデバイスの多くがデフォルト設定のままで使用されていることから、ハッキングの格好の標的となっています。Doctor Webでは、IoT(Internet of Things:モノのインターネット)を標的とするよう設計されたものを含む、Linux向けトロイの木馬の検出数に関する統計を収集してきました。その結果から、感染したデバイス上に最も多くインストールされているトロイの木馬はDDoS攻撃を実行するものであるということが明らかになりました。

現時点で、IoTを標的とするトロイの木馬の多くがDDoS攻撃を実行するためのボットネットを作成する目的で拡散されていますが、一部のトロイの木馬は感染させたデバイスをプロキシサーバーとして動作させる目的で使用されています。2016年9月中旬以降、Doctor WebではLinux向けトロイの木馬による攻撃が11,636件確認されており、そのうち9,582件がSSHプロトコル経由、2,054件がTelnetプロトコル経由によるものとなっています。サイバー犯罪者によって15の異なるマルウェアプログラムがインストールされており、それらの大半は Linux.DownLoaderLinux.DDoSLinux.BackDoor.Fgtファミリーに属するものでした。以下の円グラフは最も多く検出されたLinux向けトロイの木馬の割合を示しています。

graph #drweb

これらの統計から、DDoS攻撃を実行するよう設計されたトロイの木馬のうち最も多く拡散されているのは Linux.Downloader.37 であるということが分かります。その他のLinux向けトロイの木馬 Linux.MrblackLinux.BackDoor.GatesLinux.MiraiLinux.NyadropPerl.FloodPerl.DDoSファミリーもまた、DDoS攻撃を実行します。異なる多数の亜種が検出されているLinux.BackDoor.Fgtには、MIPS、SPARC、m68k、SuperH、PowerPCおよびその他のアーキテクチャ向けのバージョンが存在します。 Linux.BackDoor.Fgt もまたDDoS攻撃を実行することができます。

これらトロイの木馬は全て、サイバー犯罪者がログイン認証を割り出し、TelnetまたはSSHプロトコル経由で接続を確立した後にデバイス上にダウンロードされています。犯罪者の使用するログインは、Telnetプロトコル経由の場合は「root」、SSHプロトコル経由の場合は「admin」となっています:

graph #drweb

graph #drweb

以下の表はLinuxデバイスをハッキングする際に犯罪者によって使用されるログインとパスワードの一般的な組み合わせです。

SSH
ログインパスワードデバイス/アプリケーション(推定)
InformixInformixIBMのInformix関係データベース管理システム (RDBMS) 製品群
PiRaspberryRaspberry Pi
RootNagiosxiNagios ServerおよびNetwork Monitoringソフトウェア
nagiosNagiosNagiosソフトウェア
cactiuserCactiCactiソフトウェア
rootSynopassSynologyソフトウェア
adminArticonProxySG - Blue Coat SystemsのセキュアWebゲートウェイ
Telnet
Rootxc3511監視カメラ
RootVizxvDahua監視カメラ
RootAnkoAnko監視カメラ
Root5upTP-Linkルーター
RootXA1bac0MXCNB監視カメラ

Doctor Webによるモニタリングの結果、Linuxデバイスに対する攻撃に使用されていたIPアドレスの平均数は100となっています:

graph #drweb

サイバー犯罪者によってハッキングされたデバイス上にダウンロードされていた悪意のあるファイルの数は数個から数十個と幅があります:

graph #drweb

注目すべき点として、脆弱なデバイス上にダウンロードされるLinux.Miraiに関する統計が挙げられます。そのソースコードが一般に公開されて以来、このトロイの木馬の人気はウイルス開発者の間で飛躍的に高まりました。その事実はLinuxデバイス上にマルウェアプログラムをダウンロードする際に使用されていたIPアドレス数の増加として表れています:

graph #drweb

10月には、Linux.Miraiを拡散するために Linux.Luabot ファミリーに属するトロイの木馬が使用されていました。また、9月の末には、「MalwareMustDie」ブログの著者によって報告されていた Linux.Nyadrop.1 による攻撃がDoctor Webのスペシャリストによって確認されました。攻撃の際に使用されていたログインとパスワードの組み合わせから、このトロイの木馬を拡散させていた犯罪者はTP-Linkルーターを標的の1つとしていたことが伺えます。 Linux.Nyadrop.1 の実行ファイルサイズはわずか621バイトで、感染させたデバイス上に別のマルウェアプログラムをインストールするために使用されていました。

以下の図は、Linuxデバイス上にマルウェアプログラムをインストールする際に使用されていたIPアドレスの地理的分布を表しています:

map #drweb

Doctor WebではLinuxマルウェアの状況について注意深く監視を続け、新たな脅威についてタイムリーな情報を提供していきます。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F