PumaBotボットネット
新たに発見されたLinuxボットネット「PumaBot」が、組み込みIoTデバイス全体に大混乱をもたらしています。Go言語で記述されたこのマルウェアは、総当たり攻撃を用いてSSH認証情報を解読し、アクセスに成功すると悪意のあるペイロードを展開します。インターネットを無差別にスキャンする従来のボットネットとは異なり、PumaBotはコマンドアンドコントロール(C2)サーバーから直接取得した特定のIPアドレスに狙いを定めます。
目次
精密ターゲティング:IoT活用における戦術的転換
PumaBotの特徴は、C2サーバー(ssh.ddos-cc.org)から厳選されたIPアドレスリストを取得し、非常に集中的な攻撃を実行することです。このアプローチは、インターネットを広範囲にスキャンすることを回避し、特定の組織やデバイスへの侵入を意図していることを示唆しています。さらに、デバイスに「Pumatronix」という文字列が含まれていないか検査します。これは、このベンダーが製造する監視カメラや交通カメラシステムが標的となっている可能性を示唆する手がかりとなります。
偵察からルート化まで:PumaBotの攻撃ライフサイクル
デバイスが選択されると、PumaBotはポート22でSSHログインを総当たり攻撃で試行します。成功すると、「uname -a」を実行してシステム情報を収集し、デバイスがハニーポットではないことを確認します。この検証後、ボットネットは以下の操作を実行します。
- メインバイナリ(jierui)を/lib/redisに書き込みます
- 永続的な systemd サービス (redis.service) をインストールします。
- システムのクリーンアップ後でも長期アクセスを可能にするために、authorized_keys に独自の SSH キーを挿入します。
感染を超えて:コマンド実行とデータ窃盗
アクセスが保護されると、PumaBot は次のような追加のコマンドを実行できます。
- 新しいペイロードの展開
- 機密データの流出
- ネットワーク内での横方向の移動を促進
- 検出されたペイロードには以下が含まれます:
- 自己更新スクリプト
- pam_unix.so を置き換える PAM ルートキット
- ファイルウォッチャーとして機能するデーモンバイナリ(名前は1)
悪意のあるPAMモジュールはSSH認証情報を記録し、con.txtに保存します。1バイナリはこのファイルを監視し、発見するとC2サーバーに持ち出し、感染システムから消去します。これは、自身の痕跡を隠蔽するための計算された動きです。
未知の範囲、大きなリスク:PumaBotの静かな拡大
研究者たちは、PumaBotのキャンペーンの規模や成功率をまだ特定していません。標的のIPリストの範囲も不明です。しかし、このボットネットがDDoS攻撃のような低レベルの活動ではなく、ネットワークへのより深い侵入に重点を置いていることから、企業や重要インフラにとって重大な脅威となることが示唆されます。
先手を打つ:PumaBotとその類似品に対する防御
PumaBot や同様の脅威による侵害のリスクを軽減するには:
- すべてのIoTデバイスのファームウェアを更新する
- デフォルトの資格情報を変更する
- ファイアウォールを導入し、SSHアクセスを制限する
- セグメント化されたネットワーク上のIoTデバイスを分離する
ボットネットの攻撃者を寄せ付けず、企業ネットワークをより深刻な侵害から保護するには、積極的なセキュリティ対策が不可欠です。
