元記事

Satori 概要

2017 年 12 月初旬、360 Netlab が新種のマルウェアファミリを発見し、「Satori」と命名
Satori は「Mirai」から派生したマルウェアで 2 つの脆弱性を悪用
- CVE-2014-8361: Realtek SDK の miniigd SOAP サービスにおける任意のコードを実行される脆弱性
- CVE 2017-17215: 2017 年 12 月初旬に修正された Huawei (華為技術) 社製 HG532e ホームゲートウェイの脆弱性
脅威情報から Satori には 3 つの亜種があることが確認される
- 1 つ目の亜種: 2017 年 4 月に登場、最新の攻撃の 8 ヶ月前
あるバージョンの亜種では CVE 2017-17215 (Huawei (華為技術) 社製 HG532e ホームゲートウェイの脆弱性) を悪用する攻撃が少なくとも 2017 年 11 月後半から観測されていた
- Satori は教科書通りのゼロデイ攻撃だったことが判明: それまでに知られておらずパッチも用意されていない未知の脆弱性に対する攻撃
これまでの分析から予測されていたとおり、IoT マルウェアも既知・ゼロデイの脆弱性を悪用するよう進化してきている

Gafgyt や派生元の Mira などの初期 IoT マルウェアファミリは、デフォルトや弱いパスワードを悪用してデバイスを攻撃するもの
攻撃に対抗するためユーザーや製造元がデフォルトパスワードを変更したりパスワードを強固なものに変更
Amnesia や IoT_Reaper など一部 IoT マルウェア作成者に、この流れに対抗するものが現れ、パスワードではなく特定 IoT デバイスの既知の脆弱性を突く
当該デバイスのメーカーが脆弱性を修正して対応するようになる
未知の脆弱性やパッチが提供されていない脆弱性を突く攻撃が増える

IoT マルウェアがゼロデイ脆弱性を狙うようになる
- 派生元の Mirai のソースコードを流用し、telnet でスキャンを行いパスワードブルートフォース攻撃などを行う機能を利用
Satori は相手 IoT 機器の種類を特定し相手によって動作を変える
- Satori の作成者は様々な IoT デバイスを収集し、ファームウェアをリバースエンジニアリングで解析することで各デバイスに特有の情報や脆弱性を探し当てたのでは?
- その場合、今後 Satori は上記以外の機器の未知の脆弱性を突く攻撃をしかけるだろう

インターネットをスキャンしてどの IP アドレスが脆弱かを調べ、telnet で 2223 ポートにパスワード攻撃。ログインに成功するとシェルアクセスを有効化して /bin/busybox satori または /bin/busybox SATORI というコマンドを実行するのみ

Satori は Mirai のオープンソースになったソースコードからネットワークスキャナ、パスワードのブルートフォース攻撃機能、watchdog の無効化など一部機能を流用している
Satori は /proc を横断検索して /proc/PID/maps と /proc/PID/exe 内に(特定のデバイスを表す) 8 種類の文字列があるかどうかを検索し、あればそのプロセスを kill する
- Satori の 2 つ目の亜種では kill の動作がデバイスの種類に応じて異なる
- 前述の 8 種類のデバイスを表す文字列の検索同様に /proc 以下に「/var/Challenge」、「hi3511」、「/mnt/mtd/app/gui」、「gmDVR」という 4 つのキーワードが存在するかどうかを検索し、感染デバイスが特定の種別かどうかを確認し、この 4 つのプロセスについては kill しない
Satori の作成者はこれら 4 つのデバイスのファームウェアをリバースエンジニアリングすることで将来の攻撃に備えるために種類を同定しているのではないかと推測される

Satori マルウェアファミリは、IoT マルウェアが単純なパスワードブルートフォース攻撃を行う攻撃から脆弱性を突く攻撃へと進化していく様子を示す好例
Mirai のオープンソースコードにより、IoT マルウェアの作成者は最初から有利に亜種開発を行える
IoT マルウェア作成者が今後も既知の脆弱性を悪用したりゼロデイの脆弱性を発見することで IoT デバイスを攻撃する可能性があるなら今後も注視していくべきだろう