SBIDIOTマルウェア

IoT（Internet-of-Things）デバイスの急増は、特に産業部門で急速な成長を示し続けています。そのため、サイバー犯罪者はマルウェア感染の潜在的な標的の幅広い新しいプールを発見しました。特にIoTデバイスを侵害するように設計された最新の脅威の1つは、SBIDIOTマルウェアと呼ばれます。

ほとんどのIoT脅威と同様に、SBIDIOTマルウェアの主な目標は、感染したすべてのデバイスをボットネットに組み込むことです。ボットネットの計算能力はいくつかの異なる方法で使用できますが、最も顕著なものは特定のターゲットに対してDDoS攻撃を仕掛けることです。 DDOSはDistributedDenial of Serviceの略です。ボットネット内のデバイスは、ハッカーが選択したサーバーに過度の負荷をかけ始め、ユーザーがそのサービスにアクセスできなくなります。 SBIDIOTマルウェアが拡散に使用することが確認されている1つの方法は、ZTEルーターのRCE（リモートコード実行）の脆弱性を悪用することです。

SBIDIOTマルウェアの機能

infosecの研究者が実行した脅威のコードの分析により、SBIDIOTマルウェアは、コマンドアンドコントロール（C2、C＆C）サーバーから受信し、文字列のリストと照合された合計16のコマンドを実行できることが明らかになりました。 C2のIPアドレスとポートは、SBIDIOTのバイナリにハードコードされています。完全なリストは、TCP、HTTPSTOMP、VSE、HEX、STD、VOX、NFO、UDP、UDPH、R6、FN、OVHKILL、NFOKILL、STOP、Stop、stopです。

当然のことながら、脅威によって実行されるアクションのほぼすべては、さまざまな方法と必要な引数を介したDDoS攻撃の開始に関連しています。たとえば、HTTPSTOMPコマンドは、HTTPメソッド、ホストとポートの組み合わせ、攻撃の期間、および操作が繰り返される回数を指定するカウントを介して定義されます。 HEX、STD、R6、NFO、FN、OVHKILL、NFOKILL、およびUDPHコマンドはすべて、ホスト名、ポート、および攻撃時間の制限を必要とする同じ関数を呼び出します。次に、固定ペイロードでUDPトラフィックの生成を開始します。

主な例外は、STOP、stop、およびStopコマンドです。開始されると、現在追跡されているすべてのプロセスIDにSIGKILLシグナルを送信します。これにより、脅威アクターは選択したプロセスを即座に終了できます。