[CODE BLUE 2018] Miraiのボットネット#14 – BestBuyとDeutsche Telekomが台無しにした2016年の私の（他の多くの）クリスマス ミルコ・マンスク [レポート] #codeblue_jp

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2018に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

Miraiのボットネット#14 - BestBuyとDeutsche Telekomが台無しにした2016年の私の（他の多くの）クリスマス ミルコ・マンスク

ドイツ120万人のインターネット利用者にとって、突如としてインターネットが利用できなくなった経験はおそらく初めてのことだっただろう。これをきっかけに普段使っているインターネットがどれだけ大事なものであるか理解したのではないだろうか。このセッションでは、リベリアに大きな影響を与えたボットネットであるボットネット「ミライ#14」の運営者を摘発し、捕まえるというスリリングな体験について話そう。 こうした世界規模の犯罪に対して、警察たちがどのように形勢を逆転してきたかをぜひご覧になってほしい。

レポート

※シェアできない内容が多いため、パブリックになっている情報をもとに削っています

• 今日の話はドイツの警察でどのように対応をして最終的に犯罪者を逮捕したか
• いろいろうまく行かなかったけど、最終的には運が良かった話

何があったか

• 2016年、DDoSがあった
• この攻撃がパワフルだったのでリベリアの国が数日インターネットから切り離された
• ドイツではどうなるだろうなって話していた
• 2ヶ月後、ドイツでも起こってしまった
• DTAGはドイツのインターネットの6割くらいを賄っている
• これがやられた
• https://www.qacafe.com/training/home-router-attack-tr-069-vulnerability/
• speedportは台湾のArcadyanが担当している
• TR069を利用してリモートからサポートを提供していた
• port 7547を開けている
• knock-knockを利用して認証サーバから管理サーバにつないでアップデートや修理を行う
• TR069では他にもいろんな機能があった
• TR069でNTPを変更するコードを送るものを応用してRCEを行った
• しかしspeedportには無効であった
  • knock-knockしか使っていなかったので上手く行かなかった
  • ファームウェアにも問題があって、攻撃者の意図と違ってDNSの変更ができなかった

犯人の追跡

• アタックコードにコメントでから犯人を追跡することができた
• https://krebsonsecurity.com/2017/07/who-is-the-govrat-author-and-mirai-botmaster-bestbuy/
• いくつかのニックネームがあり、彼は10年以上ネットの犯罪を行っていた
• Whoisから犯人のメールアドレスを見つけ、実名にたどり着いた
• Facebookから特定したが、どこにいるかわからなかった
• 逮捕するために居場所を突き止めたかった
• 彼が利用したマルウェアから購入したメールアドレスなどを突き止めた
• Passive DNSとWhoisは役に立つ

感想

ソースから痕跡をたどって最終的に犯人の逮捕に結びついて非常に良い事例だと思いました。一方で、本当に犯罪者にたどり着くことは難しいことを感じました。

逮捕に至るまで担当された方は非常に素晴らしいと思います。

ここに書けない面白い話がいっぱいあったので、気になる方はリアルに足を運びましょうｗ