Windows PCを標的とするワーム侵入する新たな「ボットネット」が急速に拡大中
今回は「Windows PCを標的とするワーム侵入する新たな「ボットネット」が急速に拡大中」についてご紹介します。
関連ワード (Windows、マルウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
研究者によると、Windowsパソコンを標的にしたボットネット(botnet)が急速に拡大している。マルウェアがコンピューターからコンピューターへと拡散することを可能にする新たな感染テクニックのためだ。
Purle Fox(パープル・フォックス)というマルウェアが最初に発見されたのは2018年で、フィッシングメールやエクスプロイトキットを通じて拡散した。犯行グループが既存のセキュリティ欠陥を利用して機器を感染させる手段だ。
セキュリティ企業Guardicoreの研究者であるAmit Serper(アミット・サーパー)氏とOphir Harpaz(オフィール・ハーパズ)氏は、この新しい感染方法を発見してブログで公表し、このマルウェアがインターネット接続された弱いパスワードのWindowsパソコンを標的にして、拡散を加速するための足場に使っていることを伝えた。
関連記事:カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立
マルウェアはWindowsユーザーアカウントの弱いパスワードを、サーバー・メッセージ・ブロック(SMB)を標的にして推測する。SMBはWindowsがプリンターやファイルサーバーなどの外部デバイスと会話するのに使う機能だ。一度脆弱なコンピューターへのアクセスを獲得すると、マルウェアは2000近くのすでに侵入されているWindowsウェブサーバーのネットワークの中から悪意のあるペイロード(malicious payload)の引き金を引き、ルートキットをこっそりとインストールして、そのマルウェアをコンピューターに永住させ、検出や除去をいっそう困難にする。
一度感染すると、マルウェアは自分が感染に利用したファイアウォールのポートを閉じることで、再度の感染やすでにハッキングされたパソコンを他の犯行グループがハイジャックするのを防ごうとする、と研究者らはいう。
次にマルウェアはインターネットアドレスのリストを生成し、パスワードの弱い脆弱なパソコンをインターネットで探し、さらに感染を広げて侵入されたコンピューターのネットワークを拡大していく。
ボットネットは、犯行グループが制御しているネットワークに何十万台のハックされたデバイスが登録されて作られる。これを使ってDoS攻撃を仕かけ、無駄なトラフィックで標的となった組織のネットワークを停止に追い込む。しかし、これらのデバイスを制御することで、犯行グループはボットネットを使ってマルウェアやスパムを拡散したり、感染したコンピューターにファイル暗号化ランサムウェアを送り込むこともできる。
しかしこの種のワーム侵入型ボットネットは、自分自身で拡散するためリスクはさらに大きい。
Guardicoreのセキュリティ研究副社長であるサーパー氏は、ワーム侵入型感染技法は従来のフィッシングやエクスプロイトキットよりも「安上がり」に実行できると語った。
「インターネットを常時監視して脆弱なマシンを探す日和見的攻撃であるということは、犯罪者はある意味で『セットしたら忘れる』ことができることを意味しています」と彼は述べた。
企みは成功しているようだ。Purple Fox感染は2020年5月以降600%急増していることをGuardicore独自のインターネットセンサーネットワークのデータが示している。実際の感染数はずっと多いに違いなく、2020年だけで9万例を越えるだろう。
Guardicoreは、自身が感染しているかどうかをネットワークが調べるための侵略指標を公開した。これらのボットネットが何に使われるのかは研究者にもわかっていないが、サイズの大きさが組織にとってリスクになることを警告している。
「これは将来何かをするための基盤を作っているのだろうと私たちは考えています」とサーパー氏は語った。
画像クレジット:Bryce Durbin / TechCrunch
【原文】
Researchers say a botnet targeting Windows devices is rapidly growing in size, thanks to a new infection technique that allows the malware to spread from computer to computer.
The Purple Fox malware was first spotted in 2018 spreading through phishing emails and exploit kits, a way for threat groups to infect machines using existing security flaws.
But researchers Amit Serper and Ophir Harpaz at security firm Guardicore, which discovered and revealed the new infection effort in a new blog post, say the malware now targets internet-facing Windows computers with weak passwords, giving the malware a foothold to spread more rapidly.
The malware does this by trying to guess weak Windows user account passwords by targeting the server message block, or SMB — a component that lets Windows talk with other devices, like printers and file servers. Once the malware gains access to a vulnerable computer, it pulls a malicious payload from a network of close to 2,000 older and compromised Windows web servers and quietly installs a rootkit, keeping the malware persistently anchored to the computer while also making it much harder to be detected or removed.
Once infected, the malware then closes the ports in the firewall it used to infect the computer to begin with, likely to prevent reinfection or other threat groups hijacking the already-hacked computer, the researchers said.
The malware then generates a list of internet addresses and scans the internet for vulnerable devices with weak passwords to infect further, creating a growing network of ensnared devices.
Botnets are formed when hundreds or thousands of hacked devices are enlisted into a network run by criminal operators, which are often then used to launch denial-of-network attacks to pummel organizations with junk traffic with the aim of knocking them offline. But with control of these devices, criminal operators can also use botnets to spread malware and spam, or to deploy file-encrypting ransomware on the infected computers.
But this kind of wormable botnet presents a greater risk as it spreads largely on its own.
Serper, Guardicore’s vice president of security research for North America, said the wormable infection technique is “cheaper” to run than its earlier phishing and exploit kit effort.
“The fact that it’s an opportunistic attack that constantly scans the internet and looks for more vulnerable machines means that the attackers can sort of ‘set it and forget it’,” he said.
It appears to be working. Purple Fox infections have rocketed by 600% since May 2020, according to data from Guardicore’s own network of internet sensors. The actual number of infections is likely to be far higher, amounting to more than 90,000 infections in the past year.
Guardicore published indicators of compromise to help networks identify if they have been infected. The researchers do not know what the botnet will be used for but warned that its growing size presents a risk to organizations.
“We assume that this is laying the groundwork for something in the future,” said Serper.
(文:Zack Whittaker、翻訳:Nob Takahashi / facebook )
マルウェア - Wikipedia
マルウェア (malware) とは、不正かつ有害に動作させる意図で作成された悪意のある ソフトウェア や悪質な コード の総称。 コンピュータウイルス や ワーム などが含まれる。
マルウェア(悪意のあるソフトウェア)とは - IT用語辞典 e …
マルウェア【悪意のあるソフトウェア / malware / malicious software】とは、コンピュータの正常な利用を妨げたり、利用者やコンピュータに害を成す不正な動作を行うソフトウェアの総称。“malicious software” (悪意のあるソフトウェア)を縮めた略語。
マルウェアとは? | マカフィー - McAfee
マルウェアとは、プログラム制御されたデバイス、サービス、ネットワークに害を与えるか、悪用することを目的として設計された不正ソフトウェアの総称です。一般的に、サイバー犯罪者はマルウェアを使って、被害者から金銭を巻き上げるのに利用できるようなデータを奪います。そのようなデータには、金融情報から、医療記録、プライベートなメールやパスワードに至るまで、さまざまな種類があり、侵害され得る情報の種類を挙げればきりがありません。
マルウェアとは|マルウェアの脅威とその対策
マルウェア (Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
マルウェアとは?今さら聞けないマルウェアの驚異と対策 | …
· マルウェア(malware)は悪意のある(malicious)ソフトウェア(software)という意味の造語で、さまざまな種類・目的があります。
マルウェアはどう駆除する?ツールと手順、対策をわかり ...
マルウェアはネットワークを介して、他の端末への感染拡大や、不正なアクセスをおこなうといった活動をするため、すぐにネットワークから遮断することで、被害の拡大を防げる可能性が高まる。
マルウェアに感染した?注意したい5つの症状、確認方法と初 …
マルウェアは感染してもユーザーが気付きにくいケースもあります。しかし、感染の可能性を示す危険信号を知ることで被害を最小限にすることも可能です。ここではマルウェア感染の兆候となる代表的な症状と感染した場合に必要な初動について解説していきます。
マルウェアとは | 種類や症状、駆除・消去方法、ウィルスとの ...
マルウェアは、Malicious Softwareの略で、悪意のあるソフトウェア全般をさします。データを抜き出すもの、端末を破損させるものなどさまざまなものがあります。そんなマルウェアの種類や、感染したときの症状・駆除方法について解説します。
マルウェアとウイルスの違い|端末保護の基本をシンプルに知る
マルウェアやウイルスが私たちのパソコンやスマートフォンに害を与えることは知っていても、その違いがよくわからない人も多いかもしれません。結論から言って、悪意のあるソフトウェアをマルウェアと呼び、ウイルスもその中の一種です。
マルウェアの削除方法3選!感染したら慌てず迅速に削除しよ …
これらの症状は、マルウェアがCPUやメモリを消費しているために起こると考えられています。