Bleeping Computerは1月8日(米国時間)、「Over 4,000 backdoors hijacked by registering expired domains」において、セキュリティ研究者がバックドアのバックドアをハイジャックしたと報じた。
これはwatchTowr Labsの研究者が明らかにしたもので、複数のバックドアをハイジャックしたと報告している(参考:「Backdooring Your Backdoors - Another $20 Domain, More Governments」)。
-
Over 4,000 backdoors hijacked by registering expired domains
バックドアのバックドアとは
バックドアとはインターネット接続されたデバイスに攻撃者が設置した侵入経路のこと。Webシェルが有名だが、他にもさまざまな手法が存在する。
バックドアの開発者と実際に使用する攻撃者は同一人物とは限らず、開発者はバックドアに細工を施し攻撃者の利益を吸い上げることがある。具体的には侵害されたデバイスのアドレスを開発者のコマンド&コントロール(C2: Command and Control)サーバに送信し、バックドアの認証を回避する機能を忍ばせることがある。
-
認証を回避するコードの例。@extractにより後続の認証を無力化できる 引用:watchTowr Labs
研究者はこのバックドアのバックドアに着目し、開発者のC&Cサーバに送信されるデータを横取りできないか試みた。できる限り多くのバックドアのコードを入手し、これを分析。開発者のC&Cサーバドメインを特定し、期限切れのドメインを登録することでハイジャックに成功した。
研究者がハイジャックしたドメインは40以上とされる。調査を開始してから4,000以上の侵害されたデバイスを発見。それらデバイスのアドレスから、次の組織の侵害が確認できたと報告している。
- バングラデシュ、中国、ナイジェリアの政府機関
- タイ、中国、韓国などの大学/高等教育機関
対策
研究者はハイジャックしたドメインの悪用を防止するため、Shadowserver Foundationに権利を譲渡した。Shadowserver Foundationはこれらドメインをシンクホール化したとされる。
なお、この対策は攻撃を阻止しない点に注意が必要。侵害されたデバイス情報がバックドア開発者に渡るのを阻止できるだけで、侵害自体を阻止することにはならない。インターネットに接続されたデバイスの管理者には、これを機会にバックドアの調査を行うなど、継続的なセキュリティ対策の実施が望まれている。
フリーWi-Fiがサイバー攻撃に悪用される、日本も危ない
