14,000台のルーターがKadNap ボットネットに感染、削除に強い設計

消滅しないボットネット

Lumen傘下のBlack Lotus Labsのセキュリティ研究者らは、約14,000台のルーターとネットワークデバイス――主にAsusの消費者向けモデル――をサイバー犯罪活動に奉仕するプロキシネットワークに黙って支配していた高度なボットネットを発見しました。研究者たちがKadNapと名付けたこのマルウェアは、大多数のボットネットとは異なり、ピアツーピアアーキテクチャを採用しており、これが削除を極めて困難にしています。

感染数は、Black Lotusが去年8月にボットネットを初めて発見した約10,000台から、3月初旬の14,000台へと増加しました。侵害されたデバイスの圧倒的多数はアメリカに位置し、台湾、香港、ロシアにはより小さなクラスタが存在します。被害者の中でAsusルーターが高度に集中していることは、ボットネット運営者が特定のAsusファームウェアバージョンの脆弱性を標的とした信頼できるエクスプロイトを取得したことを示唆しています。

KadNapがどのように拡散し持続するか

Black Lotusの研究者Chris Formosaによると、KadNapは消費者向けルーターの既知だが未修正の脆弱性を悪用することで初期フットホールドを獲得します。これらは専門的なスキルを必要とするゼロデイエクスプロイトではありません――それらは製造業者がパッチを発行した公開されたセキュリティ欠陥ですが、デバイスの所有者が決して適用していません。パッチの入手可能性とパッチのインストール間のギャップは、サイバーセキュリティにおける最も永続的な問題の1つであり続けており、KadNapのようなボットネットはそれを無情に悪用します。

ルーターにインストールされると、KadNapはデバイスを分散型プロキシネットワーク内のノードに変換します。サイバー犯罪活動からのトラフィック――詐欺、認証情報の詰め込み、ウェブスクレイピング、その他の悪意のある活動――は侵害されたルーターを経由してルーティングされ、正当な住宅IP アドレスから発信されているように見えます。この住宅用プロキシサービスはその後他の犯罪者に売却され、ボットネット運営者に安定した収入源を提供します。

KadNapを特に危険にしている理由は、Kademliaに基づくピアツーピア通信プロトコルを使用していることです。Kademliaは、合法的なファイル共有アプリケーション向けに元々開発された、よく知られた分散ハッシュテーブルアルゴリズムです。従来のボットネットでは、侵害されたデバイスは中央コマンド・アンド・コントロールサーバーから指令を受け取ります。法執行機関とセキュリティチームは、コマンドサーバーを特定して押収することで、これらのボットネットを破壊できます。これは事実上蛇の頭を切ることです。

Kademliaの利点

KadNapのKademliaベースのアーキテクチャは、この単一障害点を排除します。中央サーバーに接続する代わりに、各感染ルーターは他の感染デバイスのルーティングテーブルを維持します。コマンドはネットワーク内に分散方式で伝播し、Kademliaプロトコルの効率的なルーティングアルゴリズムを使用してノードからノードへとホップします。押収する中央サーバーはなく、ブロックする単一のIPアドレスもなく、ネットワークが遮断される明らかなボトルネックもありません。

一部のノードがクリーンアップされてオフラインになった場合、残りのノードはネットワーク接続を維持するためにルーティングテーブルを自動的に再編成します。Kademliaプロトコルは、ノードチャーン――ネットワークに参加および離脱するデバイス――に対して回復力を持つように特別に設計されており、これは部分的なシャットダウンに対して自然に耐性があります。ボットネットはノードのかなりの割合を失い、最小限の中断で運用を続けることができます。

このデザインはボットネットアーキテクチャの意味のある進化を表しています。ピアツーピアボットネットは何年も存在していますが、KadNapのKademlia実装は注目に値するほど洗練されており、ルーティングテーブルエントリの暗号学的検証を使用して、セキュリティ研究者がネットワークに偽のノードを注入することを防止します。

Asusとの関連性

KadNapの被害者の中でAsusルーターが高度に集中していることは、これらの広く使用されている消費者向けデバイスのセキュリティ態勢について疑問を投げかけています。Asus消費者向けルーターは、認証バイパスからリモートコード実行の欠陥まで多くのセキュリティアドバイザリーの対象となってきました。Asusはこれらの問題に対処するためのファームウェアアップデートを定期的にリリースしていますが、消費者向けルーターのオーナーの圧倒的多数はファームウェアをアップデートしません。

通常自動的にアップデートするスマートフォンとコンピューターとは異なり、ほとんどの消費者向けルーターは、製造業者のウェブサイトからファイルをダウンロードしてルーターの管理インターフェース経由でアップロードすることを含む手動ファームウェアアップデートを必要とします。多くのユーザーは自分のルーターにファームウェアがあることさえ認識せず、ましてやそれをアップデートする必要があることは認識していません。これは、ボットネット運営者が自由に収穫できる脆弱なデバイスの永続的な集団を生み出します。

KadNapから身を守る

個々のルーターのオーナーにとって、最も効果的な防御は簡潔です。ルーターのファームウェアをアップデートしてください。Asusはそのサポートウェブサイトを通じてファームウェアアップデートを提供し、より新しいモデルで自動アップデート機能を導入しました。デフォルト管理者パスワードを変更し、インターネットからのリモート管理アクセスを無効にすることも、最も一般的に悪用される攻撃ベクトルを閉じる重要な手順です。

より広いセキュリティコミュニティにとって、KadNapはボットネット削除への新しいアプローチが必要であることを強調しています。コマンド・アンド・コントロール インフラの押収に依存する従来の方法はピアツーピアデザインに対して無効です。代替戦略には、ISPのコラボレーション、ネットワークレベルでのボットネットトラフィックパターンの自動検出、または既知のセキュリティ欠陥を持つ製品を出荷するデバイスメーカーに責任を持たせる法的枠組みを通じた、調整された脆弱性開示と強制パッチが含まれる可能性があります。

消費者向けIoTデバイス――ルーター、カメラ、スマートスピーカー、電化製品――が増加するにつれ、ボットネット採用可能な不十分にメンテナンスされたインターネット接続デバイスのプールは引き続き成長します。KadNapは、そのプールが高度なマルウェアエンジニアリングに遭遇したときに何が起こるかを警告するものです。

この記事はArs Technicaのレポートに基づいています。元の記事を読む。