Kimwolfと呼ばれる急速に拡大するボットネットが、住宅用プロキシネットワークを悪用して、一般的な消費者向けデバイスをローカルネットワークに対する大規模サイバー攻撃の踏み台に変えています。
研究者らは、このボットネットがすでに世界中で200万台以上のデバイスに感染しており、DDoS攻撃、広告詐欺、アカウント乗っ取りの試行、コンテンツの大量スクレイピングを可能にしていると推定しています。
「192.168.0.1や0.0.0.0を指すDNSレコードを使用することで、既存のドメイン制限を回避することが可能です」と、セキュリティ研究者のBenjamin Brundage氏は述べています。
同氏はさらに、「これにより攻撃者は、現在のデバイス、またはローカルネットワーク上のデバイスに対して、慎重に作り込んだリクエストを送信できるようになります」と付け加えました。
Kimwolfがプロキシネットワークを通じて拡散する仕組み
Kimwolfの拡散は、2つの技術的失敗が重なり合うことに依存しています。
1つ目は住宅用プロキシサービスに関するもので、顧客が消費者向けデバイスを経由してトラフィックを中継し、地理的にローカルに見せかけることを可能にします。
多くのプロバイダーはRFC 1918で定義されたプライベートIP範囲へのアクセスを遮断しようとしますが、Kimwolfの運用者はDNSレコードを操作して192[.]168[.]0[.]1や0[.]0[.]0[.]0のような内部アドレスに解決させることで、これらの制御を回避できることを発見しました。
攻撃者が内部ネットワークへのアクセスを得ると、2つ目の弱点が作用します。それがAndroid Debug Bridge(ADB)です。
未承認のAndroid TVボックスや同様のデバイスの多くは、デフォルトでADBが有効になった状態で出荷されています。
ADBはポート5555で待ち受け、認証なしの接続を受け付けるため、攻撃者は単一のコマンドで管理者権限を取得できます。
そこからKimwolfは横方向に拡散し、複数のデバイスに同時にマルウェアをインストールできます。
特筆すべきことに、研究者らはKimwolf感染と、世界最大級の住宅用プロキシプロバイダーの1つであるIPIDEAを通じてリースされたIPアドレスとの間に強い相関があることを発見しました。
IPIDEAは問題を修正したと述べていますが、研究者らは、プロキシ基盤の悪用を継続することで、Kimwolfがほぼゼロから数百万件の感染へと急速に再構築される様子を観測しました。
信頼されたネットワーク内での横方向移動を抑制する
Kimwolfボットネットのような脅威は、攻撃者が消費者向けデバイスや信頼されたネットワーク経路を悪用して、従来のセキュリティ制御をいかに容易に回避できるかを示しています。
デバイス衛生、ネットワークセグメンテーション、可視性の向上を組み合わせることで、組織はプロキシ悪用と横方向の侵害リスクを低減できます。
- 無名の接続機器を避け、管理されていない、または消費者向けデバイスの企業アクセスを制限することで、高リスクデバイスを信頼ネットワークから排除する。
- VLAN、ゲストネットワーク、またはゼロトラスト制御を用いて、エッジおよびIoTデバイスからの横方向移動を防ぐために、ネットワークアクセスをセグメント化し、制御する。
- 既知のプロキシサービスを特定し、高リスクな送信先(エグレス)を制限し、プロキシのような挙動を監視することで、住宅用プロキシおよび悪用関連トラフィックをブロックする。
- 不要な管理インターフェースを無効化し、ADBなどのデバッグポートを遮断し、デバイス設定を強化することで、露出したサービスと攻撃対象領域を内部で削減する。
- ルーターとファームウェアを最新に保ち、安全なDNS設定を強制し、無許可の設定変更を防止することで、ネットワークおよびDNSセキュリティを強化する。
- 継続的な資産の発見、異常検知、ユーザー教育、疑わしいデバイスを迅速に隔離できる能力を通じて、可視性と備えを向上させる。
これらの対策を組み合わせることで、組織は侵害を前提にしつつ、被害範囲(ブラスト半径)を限定できます。
攻撃者は境界の内側へとシフトしている
Kimwolfは、堅牢化された企業境界を直接突破することから、従来のセキュリティ制御のすぐ外側に位置する信頼されたインフラや消費者向けデバイスを悪用することへと、攻撃者の戦略がより広範にシフトしていることを反映しています。
同様のパターンは、BADBOXのような他のボットネットや、911S5のような以前の住宅用プロキシサービスにも見られました。これらは大規模な不正行為と内部ネットワークアクセスを可能にしましたが、最終的には法執行機関と業界の対応によって解体されました。
ネットワークがより分散化し、ハイブリッド化し、管理されていないエンドポイントへの依存が高まるにつれて、「内部」と「外部」の脅威の境界はますます曖昧になっています。
Kimwolfのようなボットネットは、攻撃者が利便性、低価格なハードウェア、そしてローカルネットワークにおける暗黙の信頼を武器化し、最も弱いリンクがすでに境界の内側に存在し得る環境を想定して設計されていない防御を回避できることを示しています。
攻撃がオープンインターネットではなく、信頼されたデバイスやネットワークから発生するケースが増えるにつれ、暗黙の信頼に基づくセキュリティモデルは破綻しつつあります――その結果、ゼロトラストアーキテクチャが実用上の必然となっています。
翻訳元: https://www.esecurityplanet.com/threats/2m-devices-at-risk-as-kimwolf-botnet-abuses-proxy-networks/
