TheMoon→Faceless

TheMoonはボットネットを構成するマルウェアです。
新しいものではなく、2014年から観測されています。
このTheMoonの新しいキャンペーンが観測されています。

• 小規模環境向けルーターを侵害する
  始まりは、小規模オフィスや家庭などに設置されることの多い小規模環境向けルーターの侵害から実行されます。
  具体的に、この段階でどのような手口が使われているかは明らかにされていませんが、被害にあっていることのわかっているルーターは保守終了製品であるということから考えると、既知の脆弱性を狙ったものなのかもしれません。

   

• shellが利用できるか確認する
  感染の最初の段階で環境のチェックが実行されます。
  この機構は少しだけの機能が実装されたローダーで実行されます。
  機能は単に「/bin/bash」、「/bin/ash」、「/bin/sh」のどれかがあるのかを確認します。
  なければそこで終了なのですが、あれば次の段階に進みます。

   

• 環境整備用マルウェアを読み込む
  探している種類のshellが見つかると、次はマルウェアを読み込みます。
  この段階では環境整備が行われますが、この機能そのものも新しいバージョンが設置されているかを確認し、必要に応じて新しいものに入れ替える機能も持っています。
  この部分の機能は、iptableの設定変更です。
  この後に続くマルウェアの活動を許容するための通信を許可する設定を侵害したルーターに追加します。

   

• 環境の確認を行う
  サンドボックス内で自分自身が動作しているのかそうでないのかを確認します。
  サンドボックス内にいないと判断すると、ネットワークの接続性を確認します。
  接続性の確認にはNTPでの時刻同期が利用されます。

   

• C2と通信する
  この段階まで進むといよいよ侵害は最終目的に進みます。
  C2と通信し、各種マルウェアを取り込みます。
  取り込まれるものは、脆弱なWebサーバをスキャンするモジュール、侵害した機器をプロキシサーバとして悪用できるようにするモジュールなどです。

この一連の流れは、TheMoonの動きを示したものとなっています。
もうひとつわかっていることがあります。
この感染状態にある機器の約80%が3日以内にFacelessのC2と通信することが確認されています。
Facelessは、暗号通貨のみで支払いを行う顧客向けに、侵害されたデバイスを介してネットワークトラフィックをルーティングするサイバー犯罪プロキシサービスです。
このサービスは「顧客認識」検証プロセスを利用していないため、誰でも利用できます。
TheMoonはFacelessと何らかの関連性があることは明らかですが、TheMoonの感染端末のすべてがFacelessに登録されているということでもないため、その関係性はまだ明らかではありません。

この脅威は保守終了製品をその活動場所として動作します。
保守終了製品は、いわゆるEnd of Lifeとなった製品です。
販売開始から時間が経過し、新しいファームウェアがリリースされることがない状態となった製品です。
既知の問題が分かっている場合もありますし、新たな問題があることが公表されることすらないということもあります。

日々の防御側の取り組みとして、更新をタイムリーに適用するという活動は重要です。
それに加えて、サポートの継続されることのなくなった製品を継続利用してしまっていないかを把握し、タイムリーに入れ替えていく取り組みも必要です。
負担も少なからずありますが、被害者にならないため、加害者となってしまわないため、取り組んでいきたいです。

参考記事（外部リンク）：The Darkside Of TheMoon
blog.lumen.com/the-darkside-of-themoon/