360.comのNetwork Security Research Labは10月29日(現地時間)、「Pink, a botnet that competed with the vendor to control the massive infected devices」において、中国を中心に猛威を奮っていたボットネット「Pink」に関する情報を公開した。「Pink」は主にMIPSベースの光ファイバールータをターゲットにしてサイバー攻撃を行うボットネットで、ピーク時には160万台以上のデバイスに感染したこともあるという。360.comのレポートでは、Pinkの構成や攻撃手法などに関する詳細な情報が明らかにされている。
360.comの研究グループは2019年11月21日に最初のPinkのサンプルを入手し、ベンダーやCNCERT/CCと協力しながら調査を進めてきたという。最近になってベンダーによる対策がほぼ完了したことから、CNCERT/CCがPinkの情報を公開しており、それに応じて360.comでもレポート記事の公開を行ったとのことだ。
レポートによると、PinkはP2PとC2サーバの両方を使用して通信を行うハイブリッドのアーキテクチャで構成されており、管理構成情報などの時間が重要ではない通信はP2Pで、DDoS攻撃やWebサイトへの広告の挿入などの時間が重要になるコマンド実行にはC2サーバを利用するという。
Pinkのボットは、デバイスに感染するとまずコントローラを検索する。コントローラの情報は構成情報に含まれているが、発見や改竄を防ぐために暗号化と署名が行われており、さらに複数の手段を介して外部から配布することで可用性を保つ。コントローラとの接続を確保した後は、暗号化された通信を利用して外部からコマンドを受け付け、さまざまなアクションを起こすことができる。実行可能な内容としては次のようなものが挙げられている。
- ファイルのダウンロード
- システムコマンドの実行
- DDoS攻撃(HTTP攻撃とUDP攻撃)
- デバイスのスキャン
- デバイス情報(CPU、システムの種類、メモリ、システムのバージョン、ハードウェア情報)の送信
- 自動アップデート
- P2Pノードリストの同期
- HTTPメッセージの挿入(ユーザーがWebサイトを訪問した際にHTTPレスポンスにJavaScript広告を挿入するなど)
- Sock5プロキシサービス
- ファイルのダウンロードおよび実行
- 攻撃の停止
- ウォッチドッグ(監視システム)のリセット
Pinkの特徴の一つとして、感染後にルータの元のファームウェアを消去することが挙げられている。書き換えられたファームウェアには、Pinkボットのダウンローダーやブートローダーが含まれてるという。
360.comのレポートには、Pinkのアークテクチャや攻撃手法やボットが利用したC2サーバのアドレスの一覧など、より詳細な情報が掲載されている。
からの記事と詳細 ( ピーク時に160万台超のデバイスが感染した大規模ボットネット「Pink」とは - マイナビニュース )
https://ift.tt/3EIBzyH
0 Comments:
Post a Comment