EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中

New EnemyBot DDoS botnet recruits routers and IoTs into its army

2022/04/13 BleepingComputer — Mirai ベースの新しいボットネット・マルウェア EnemyBot は、モデム/ルーター/IoT デバイスの脆弱性を介して感染させたデバイスの勢力を拡大させ、それを操作する脅威アクターが Keksec であることが確認されている。この脅威グループは、クリプトマイニングと DDoS を専門としており、いずれも IoT デバイスに巣食い、そのコンピュータ資源を乗っ取ることが可能な、ボットネット・マルウェアにより支えられている。

EnemyBot は、文字列の難読化を特徴とし、その C2 サーバーは Tor ノードの背後に隠れているため、現時点でマッピングを行い、それらを停止させることは極めて困難とされる。その一方で、Fortinet の脅威アナリストたちが、このマルウェアをサンプリングして分析し、その機能に関する詳細な技術レポートを発表している。

EnemyBot の機能

対象デバイスへの感染に成功した EnemyBot は、最初に C2 サーバーとの接続を行い、実行するコマンドの送信を待つ。それらのコマンドの多くは、DDoS (分散型サービス拒否) 攻撃に関連するものだが、このマルウェアの活動は、それに限定されるものではない。

Fortinet は、以下のようなコマンド一覧を具体的に提示している。

  • ADNS – DNS 増幅攻撃を実行する。
  • ARK – ゲーム “ARK: Survival Evolved” のサーバーに対する攻撃を実行する。
  • BLACKNURSE – Destination Port Unreachable ICMP メッセージを、標的に対して大量に流し込む。
  • DNS – ハードコードされた DNS UDP クエリを、DNS サーバーに対して大量に流し込む。
  • HOLD – ターゲットに TCP コネクションを流し、一定の時間で保持する。
  • HTTP – HTTP リクエストをターゲットに対して、大量に流し込む。
  • JUNK – ランダムでゼロバイトでない UDP パケットを、標的に対して大量に流し込む。
  • OVH – カスタムUDPパケットでOVHサーバーをフラッドします。
  • STD – ランダム・バイトの UDP パケットを、標的に対して大量に流し込む。
  • TCP – 送信元ヘッダを偽装した TCP パケットを、標的に対して大量に流し込む。
  • TLS – SSL/TLS 攻撃を実行する。
  • UDP – 送信元ヘッダを偽装した UDP パケットを、標的に対して大量に流し込む。
  • OVERTCP – パケットの配信間隔をランダム化した TCP 攻撃を行う。
  • STOP – 実行中の DoS 攻撃を停止する。
  • LDSERVER – 悪意のペイロードをダウンロードするサーバーを更新する。
  • SCANNER – SSH/Telnet に対するブルートフォース攻撃と悪用により、他のデバイスへの拡散を実行する。
  • SH – シェル・コマンドを実行する。
  • TCPOFF/TCPON – ポート 80/21/25/666/1337/8080 で Sniffing を ON/OFF しながら、認証情報を収集する。
Enemybot and Mirai scanner codes compared
Enemybot and Mirai scanner codes compared (Fortinet)


ARK ゲームや OVH サーバーを標的としたコマンドにより、これらの企業をターゲットとした、恐喝キャンペーンが示唆される。また、ダウンロード・サーバーに問題があった場合に対処するために、驚異アクターは LDSERVER コマンドにより、ペイロードの新しい URL をプッシュアウトできる。ほとんどの Mirai ベースのボットネットでは、ダウンロード URL が固定でハードコードされているため、これは注目に値する。

標的となるアーキテクチャと欠陥

EnemyBot は、一般的な x86/x64/i686/darwin/bsd/arm/arm64 などから、ppc/m68k/spc などの希少で時代遅れのシステム・タイプにいたるまで、複数のアーキテクチャをターゲットにしている。このことは、マルウェアの拡散能力において極めて非常に重要なことである。EnemyBot は、ピボット・ポイントのアーキテクチャを識別し、一致するバイナリを C2 から取得することで、この機能を実現している。

Binaries seen in the exposed download server
Binaries seen in the exposed download server
(Fortinet)

Fortinet はサンプルとして収集した亜種間において、標的となる脆弱性に多少の違いがあることを確認しているが、あらゆるものに存在するのは、以下の3つである。

  • CVE-2020-17456:Seowon Intech SLC-130/SLR-120S ルータにおけるリモートコード実行の (RCE) 脆弱性 (CVSS 9.8)。
  • CVE-2018-10823:複数の D-Link DWR ルータにおけるリモートコード実行の (RCE) 脆弱性 (CVSS 8.8)。
  • CVE-2022-27226:iRZ モバイル・ルーターにおける任意の cronjob インジェクションの脆弱性 (CVSS 8.8)。
Modifying the crontab on the target device
Modifying the crontab on the target device (Fortinet)


その他にも、対象となる亜種に応じて、Enemybot が狙う脆弱性は、以下の通りである。

  • CVE-2022-25075〜25084:TOTOLINK ルータを標的とする一連の脆弱性。同じセットは、Beastmode ボットネットでも悪用されている。
  • CVE-2021-44228/CVE-2021-45046: Apache Log4j を標的とした Log4Shell などの脆弱性。
  • CVE-2021-41773/CVE-2021-42013:Apache HTTPサーバーを標的とする。
  • CVE-2018-20062:ThinkPHP CMS をターゲットとする。
  • CVE-2017-18368:Zyxel P660HN ルータをターゲットとする。
  • cve-2016-6277:NETGEAR 製ルータをターゲットとする。
  • CVE-2015-2051:D-Link ルータをターゲットとする。
  • CVE-2014-9118: Zhone ルータをターゲットとする。
  • NETGEAR DGN1000 exploit (No CVE assigned):同社ルータをターゲットとする。

ボットネットを排除するには

EnemyBot などが使用中のデバイスに感染し、悪意の DDoS ボットネットに制御されるのを防ぐために、常に最新のソフトウェア/ファームウェアへのアップデートを適用してほしい。ルーターが応答しなくなり、インターネット速度が低下し、通常よりも加熱している場合は、ボットネット・マルウェアに感染している可能性がある。この場合には、デバイスの手動ハードリセットを実行し、管理パネルに入って管理者パスワードを変更し、利用可能な最新アップデートを、ベンダーの Web サイトから直接にインストールしてほしい。

この Mirai ベースの EnemyBot ですが、この記事を読む限り、かなり強力という感じです。Tor ノードの背後に C2 サーバーを配置することで、停止に追い込まれることを避け、たくさんの CPU をカバーすることで拡散能力を高める部分が気になります。なお、Keksec というオペレーターですが、Google で検索すると、たくさんの情報が出てきます。

%d bloggers like this: