新たに出現したIoTボットネットが、最近記録的な分散型サービス拒否(DDoS)攻撃を仕掛けていることが観測されていますが、偽装機能がないため対策が可能であるとNetscoutは報告しています。
Aisuruと名付けられたこのボットネットは、TurboMiraiと呼ばれる新しいDDoS対応マルウェアの一種です。この脅威は悪名高いMirai IoTボットネットを彷彿とさせ、20テラビット毎秒(Tbps)を超えるDDoS攻撃を仕掛けることができます。
DDoS請負サービスとして運用されているAisuruは、主にオンラインゲームプラットフォームを標的として観測されていますが、政府機関、法執行機関、軍事機関などの類似組織は避けています。
他のTurboMiraiクラスのボットネットと同様に、Aisuruはボットネットノードごとに攻撃トラフィックを増加させることができ、多用途機能を備えており、オペレーターはクレデンシャルスタッフィング、AIベースのウェブスクレイピング、フィッシング、スパム活動などにも利用できます。また、住宅用プロキシサービスも含まれています。
このボットネットは主に、家庭用ブロードバンドアクセスルーター、CCTVカメラ、DVRシステム、その他同様のOEMファームウェアバージョンを実行しているデバイスで構成されています。
「このボットネットは、元のMiraiボットネットの直接経路UDP、TCP、GRE、DNSクエリフラッディング機能を保持しており、カーペットボミングターゲティング、UDPおよびTCPの送信元/宛先ポートとTCPフラグの組み合わせの疑似ランダム化、有機的なHTTPアプリケーション層DDoS機能によって補強されています」とNetscoutは指摘しています。
Aisuruは、大容量(大きなパケット、高いビット毎秒)および高スループット(小さなパケット、高いパケット毎秒)の両方の攻撃を仕掛けることができ、アウトバウンドおよびクロスバウンド攻撃によってサービスを妨害することが可能です。
Aisuruおよび同様のTurboMiraiクラスのボットネットによる攻撃のほとんどは、単一ベクトルの直接経路攻撃であり、マルウェアが特権プロセスで実行されていなかったため、偽装トラフィックはありませんでした。さらに、ボットは送信元アドレス検証(SAV)機能が有効なブロードバンドアクセスネットワークの一部となっています。
このことにより、Netscoutは、トレースバックや加入者情報との相関が可能となり、防御側が感染デバイスの特定、隔離、クリーンアップを行うことができると指摘しています。
「包括的な防御には、すべてのネットワークエッジにおけるアウトバウンド/クロスバウンド抑制をインバウンド緩和と同等の優先度で実装することが必要です。インテリジェントDDoS緩和システム(IDMS)、インフラストラクチャACL(iACL)などのネットワークインフラストラクチャのベストプラクティス(BCP)、および悪用可能なCPEの積極的な対策が不可欠です」とNetscoutは述べています。
翻訳元: https://www.securityweek.com/turbomirai-class-aisuru-botnet-blamed-for-20-tbps-ddos-attacks/
