14,000ルータがマルウェアに感染
セキュリティ企業LumenのBlack Lotus Labsの研究者らは、14,000以上のルータとネットワークデバイスが、主にアスース製品を標的としたマルウェア「KadNap」によって感染していると報告しました。
マルウェアの特徴
KadNapは、未修正の脆弱性を悪用して感染します。このマルウェアは、匿名のプロキシネットワークを匿名のトラフィックに使用するサイバー犯罪に利用されています。
感染状況
- 感染ルータの数は平均して1日あたり約14,000台で、昨年8月の10,000台から増加しています。
- 感染ルータの多くは米国に集中していますが、台湾、香港、ロシアにも少数存在します。
高度な分散型ネットワーク設計
KadNapは、Kademliaに基づく分散型ハッシュテーブルを使用して、コマンド&コントロールサーバのIPアドレスを隠します。これにより、従来の方法での検出や取り締まりが困難になります。
影響と対策
感染したデバイスは、Doppelgangerという有料のプロキシサービスを通じて、顧客のインターネットトラフィックを匿名でルーティングします。このサービスは、通常アクセスできないサイトを匿名で訪問するための信頼性の高い方法を提供します。
デバイスが感染している可能性がある場合、以下の手順で確認と消毒が可能です:
- このページでIPアドレスとデバイスログに存在するファイルハッシュを確認します。
- デバイスをファクトリーリセットします。
- すべての可用なファームウェアアップデートをインストールし、管理者パスワードを強化し、リモートアクセスを必要がない限り無効にします。
結論
Black Lotus Labsは、このネットワークの取り締まりに抵抗する特性にもかかわらず、ネットワークトラフィックの遮断方法を考案しました。また、他の組織がアクセスをブロックできるように、インジケーターオブコムプロイズを公開しています。