TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Mirai (まとめ)

概要

【図表】

f:id:tanigawa:20191104193412p:plain
urlhausの登録 URL数の推移
出典: urlhouseの情報を独自に集計・グラフ化


【辞書】

◆Mirai (マルウェア)
https://ja.wikipedia.org/wiki/Mirai_(%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2)

◆Mirai (マルウェア)
https://www.weblio.jp/content/Mirai+%28%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%29


【概要】

■MiraiのTCPシーケンスの番号

  • TCPシーケンスの番号があて先のIPアドレスと一致する特徴が見られた
  • 攻撃対象ポート
    • 23231番ポート
    • 37777番ポート
    • 6789番ポート
    • 19058番ポート


■Mirai亜種(BKDR?MIRAI.A)が使用するポート

Port Protocol
22 SSH
23 Telnet
135 DCE/RPC
445 Active Directory
1433 MSSQL
3306 MySQL
3389 RDP

記事


【ニュース】

■2016年

◆史上最大級のDDoS攻撃に使われたマルウェア「Mirai」公開、作者がIoTを悪用 (ITmedia, 2016/10/04 07:20)

ルータや防犯カメラといったIoTデバイスに感染してボットネットを形成し、DDoS攻撃を仕掛けるマルウェアのソースコードが公開された

http://www.itmedia.co.jp/enterprise/articles/1610/04/news046.html
https://malware-log.hatenablog.com/entry/2016/10/04/000000_1

◆大規模DDoS攻撃横行の恐れ、IoTマルウェア「Mirai」のソースコード公開で米機関が注意喚起 (ITmedia, 2016/10/17 07:00)
http://www.itmedia.co.jp/enterprise/articles/1610/17/news040.html
https://malware-log.hatenablog.com/entry/2016/10/17/000000_2

◆Hajime IoT Worm Considerably More Sophisticated than Mirai (Softpedia, 2016/10/18 22:30)
http://news.softpedia.com/news/hajime-iot-worm-considerably-more-sophisticated-than-mirai-509423.shtml
https://malware-log.hatenablog.com/entry/2016/10/18/000000_4

◆マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現 (ITmedia, 2016/10/20 07:31)

史上最大級のDDoS攻撃を引き起こしたマルウェア「Mirai」に感染するIoTデバイスが急増し、Miraiの亜種も次々に出現しているという

http://www.itmedia.co.jp/enterprise/articles/1610/20/news061.html
https://malware-log.hatenablog.com/entry/2016/10/20/000000

◆米ネットを襲う未曾有のDDoS。アンナ先輩が野に放った「Mirai」という名の魔物 (Gizmodo, 2016/10/25 16:05)
http://www.gizmodo.jp/2016/10/mirai-ddos-anna-senpai.html
https://malware-log.hatenablog.com/entry/2016/10/25/000000

◆DNSへの大規模DDoS攻撃、関与のIPアドレスは数千万と判明 (ITmedia, 2016/10/26 07:40)

TwitterやNetflixなどの大手サービスを相次いでダウンさせたのは、マルウェア「Mirai」に感染した機器による「何千万ものIPアドレスが絡む高度な分散攻撃」だった

http://www.itmedia.co.jp/enterprise/articles/1610/26/news063.html
https://malware-log.hatenablog.com/entry/2016/10/26/000000_1

◆マルウェア「Mirai」の脆弱性を突いた防御策はグレーゾーン!? (マイナビニュース, 2016/11/01)
http://news.mynavi.jp/news/2016/11/01/049/
https://malware-log.hatenablog.com/entry/2016/11/01/000000_1

◆Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威 (JVN, 2016/11/04)
https://jvn.jp/ta/JVNTA95530271/
https://malware-log.hatenablog.com/entry/2016/11/04/000000_1

◆「Mirai」ボットネットが国家を標的に、さらなる大規模攻撃の予兆か (ITmedia, 2016/11/07 07:00)
http://www.itmedia.co.jp/enterprise/articles/1611/07/news051.html
https://malware-log.hatenablog.com/entry/2016/11/07/000000

◆「Mirai」ソースコード徹底解剖-その仕組みと対策を探る (@IT, 2016/11/08 05:00)
http://www.atmarkit.co.jp/ait/articles/1611/08/news028.html
https://malware-log.hatenablog.com/entry/2016/11/08/000000_1

◆「Mirai」ボットネットがルータ90万台の奪取に失敗、Rapid7が解説 (Ascii.jp, 2016/12/02 07:00)
http://ascii.jp/elem/000/001/277/1277732/
https://malware-log.hatenablog.com/entry/2016/12/02/000000_7

◆新しい「Mirai」、ルータを狙うポート7547への攻撃が示す今後の脅威 (Trendmicro, 2016/12/02)
http://blog.trendmicro.co.jp/archives/14108
https://malware-log.hatenablog.com/entry/2016/12/02/000000

◆LinuxとIoTデバイス狙うマルウェア「Rakos」登場 - Miraiと類似 (マイナビニュース, 2016/12/27)
http://news.mynavi.jp/news/2016/12/27/098/

◆SSHポートに攻撃を仕掛けるマルウェア「Rakos」に関する注意喚起、LinuxやIoT機器を標的に (インプレスビジネスヘッドライン
, 2016/12/30)
https://thinkit.co.jp/news/bn/11200


■2017年

◆まったく新しいポートが被害に、「Mirai」の影響か 警察庁調べ (Trendmicro, 2017/01/23)
http://www.is702.jp/news/2089/partner/101_g/
https://malware-log.hatenablog.com/entry/2017/01/23/000000_1

◆世間を騒がせているIoT向けウイルス「Mirai」とは?その仕組みや大規模流行した理由、対策などを紹介 (BLOGOS, 2017/01/23 17:55) 
http://blogos.com/article/206969/
https://malware-log.hatenablog.com/entry/2017/01/23/000000_6

◆IoTマルウェア「Mirai」のボット化作戦進行中? 警察庁が警戒呼び掛け (ITmedia, 2017/01/24 15:02)
http://www.itmedia.co.jp/enterprise/articles/1701/24/news101.html
https://malware-log.hatenablog.com/entry/2017/01/24/000000_3

◆MIRAIマルウェアがついにWindowsに対応 (CYBERSECURITY INDEX, 2017/02/13)
https://cybersecurity-index.com/2017/02/09/mirai%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%8C%E3%81%A4%E3%81%84%E3%81%ABwindows%E3%81%AB%E5%AF%BE%E5%BF%9C/
https://malware-log.hatenablog.com/entry/2017/02/13/000000_2

◆「2323番ポート」や「7547番ポート」へのパケットが増加 - JPCERT/CCが観測 (Security NEXT, 2017/02/13)
http://www.security-next.com/078304
https://malware-log.hatenablog.com/entry/2017/02/13/000000

◆IoTマルウェア「Mirai」に新たな亜種、Windowsに感染して拡散攻撃 (ITmedia, 2017/02/15 12:48)
http://www.itmedia.co.jp/enterprise/articles/1702/15/news086.html
https://malware-log.hatenablog.com/entry/2017/02/15/000000_4

◆WindowsベースのボットネットからMiraiの亜種が拡散 (マイナビニュース, 2017/02/23)
http://news.mynavi.jp/news/2017/02/23/069/
https://malware-log.hatenablog.com/entry/2017/02/23/000000_5

◆IoTマルウェア「Mirai」のボット化作戦進行中? 警察庁が警戒呼び掛け (ITmedia, 2017/01/24 15:02)
http://www.itmedia.co.jp/enterprise/articles/1701/24/news101.html
https://malware-log.hatenablog.com/entry/2017/02/24/000000

◆IoTマルウェア「Mirai」をWindowsから拡散、2017年に入って500システムへの攻撃を確認 (Internet Watch, 2017/02/24 17:19)
http://internet.watch.impress.co.jp/docs/news/1046239.html
https://malware-log.hatenablog.com/entry/2017/02/24/211246

◆Windowsで動作する「Mirai拡散マルウェア」 - 中国語環境で作製 (Security NEXT, 2017/03/03)
http://www.security-next.com/078917
https://malware-log.hatenablog.com/entry/2017/03/03/000000

◆5358番ポートへのアクセスが増加、「Mirai」と異なるIoTボットネットか (Security NEXT, 2017/03/22)
http://www.security-next.com/079833

◆Imperva observed a new variant of the Mirai botnet unleashes 54-Hour DDoS attack (security affairs, 2017/03/30)
http://securityaffairs.co/wordpress/57523/malware/mirai-botnet-54hh-ddosa.html
https://malware-log.hatenablog.com/entry/2017/03/30/000000_3

◆マルウェア「Mirai」よりも強力な亜種が登場 - 大学を54時間攻撃 (マイナビニュース, 2017/04/02)
http://news.mynavi.jp/news/2017/04/02/099/
https://malware-log.hatenablog.com/entry/2017/04/02/000000_1

◆Mirai vs Hajime--IoTマルウェア同士の戦いに? (ZDNet, 2017/04/24 10:24)
https://japan.zdnet.com/article/35100163/?tag=mcol;relArticles

◆Miraiによる「DNS水責め」攻撃が金融サービス業界を標的に~アカマイ、2017年第1四半期のセキュリティレポート (Internet Watch, 2017/05/24 06:00)
http://internet.watch.impress.co.jp/docs/release/1061210.html

◆「量より質」「Miraiは沈静化」--最近見られたDDoS攻撃の変化 (ZDNet, 2017/09/21 07:00)
https://japan.zdnet.com/article/35107520/

◆マルウェア「Mirai」の新型亜種が急増--日本でも感染被害か (ZDNet, 2017/11/27 12:14)
https://japan.zdnet.com/article/35110980/

◆街中のクルマ数万台がボットに感染、IoTボット「Mirai」が走りながらサイバー攻撃! 仮想通貨取引所へのDDoSは利ざや稼ぎが目的か? (Internet watch, 2017/11/28 06:05)
https://internet.watch.impress.co.jp/docs/event/1092497.html

◆IoTマルウェア「Mirai」の亜種が急拡大、日本でも感染か? (ITmedia, 2017/11/28 08:40)
http://www.itmedia.co.jp/news/articles/1711/28/news061.html
http://malware-log.hatenablog.com/entry/2017/11/27/000000

◆「Mirai」の新しい亜種の拡散を確認 (Trendmicro, 2017/11/29)
http://blog.trendmicro.co.jp/archives/16536

◆Satori Botnet Has Sudden Awakening With Over 280,000 Active Bots (BLEEPINGCOMPUTER, 2017/12/05 14:10)
https://www.bleepingcomputer.com/news/security/satori-botnet-has-sudden-awakening-with-over-280-000-active-bots/

◆IoTマルウェア「Satori」攻撃発生、アジアに感染集中か--ワーム型で拡大 (ZDNet, 2017/12/06 19:30)
https://japan.zdnet.com/article/35111546/

◆米司法省、IoTマルウェア「Mirai」に関与の3人を訴追 (ITmedia, 2017/12/14 16:40)
http://www.itmedia.co.jp/news/articles/1712/14/news117.html

◆「Mirai」ボットネット攻撃、3名が罪を認める (ZDNet, 2017/12/14 11:31)
https://japan.zdnet.com/article/35111932/

◆IoTマルウェア「Mirai」の亜種が活発化--100Gbps級のDDoS攻撃も (ZDNet, 2017/12/19 14:19)
https://japan.zdnet.com/article/35112184/

◆国内Mirai亜種の感染活動急増、ファームウェアアップデート確認など注意喚起 (マイナビニュース, 2017/12/19 13:04)
https://news.mynavi.jp/article/20171219-559407/


■2018年

◆SATORI AUTHOR LINKED TO NEW MIRAI VARIANT MASUTA (threatpost, 2018/01/23)
https://threatpost.com/satori-author-linked-to-new-mirai-variant-masuta/129640/

◆「Mirai」の亜種、新たなIoTマルウェア「Masuta」に注意 (マイナビニュース, 2018/01/25 14:12)
https://news.mynavi.jp/article/20180125-575663/

◆マルウェア「Mirai」亜種の活動減退、原因不明も要警戒--IIJ (ZDNet, 2018/02/13 16:35)
https://japan.zdnet.com/article/35114638/

◆600GbpsオーバーのDDoSを仕掛けたマルウェア「Mirai」が進化 (McAfee, 2018/02/14 16:30)
http://ascii.jp/elem/000/001/631/1631525/

◆史上最悪規模のDDoS攻撃 「Mirai」まん延、なぜ? (ITmedia, 2018/02/21 07:00)
http://www.itmedia.co.jp/news/articles/1802/21/news034.html

◆Miraiに感染した国内IoT機器が再び活発化--IIJ (ZDNet, 2018/04/05 15:23)
https://japan.zdnet.com/article/35117276/

◆MIRAI VARIANT TARGETS FINANCIAL SECTOR WITH IOT DDOS ATTACKS (threatpost, 2018/04/06)
https://threatpost.com/mirai-variant-targets-financial-sector-with-iot-ddos-attacks/131056/

◆IIJ、公式ブログで国内Mirai亜種感染機器からのスキャン通信が再び増加と報告 (Security Insight, 2018/04/09 10:00)
https://securityinsight.jp/news/13-inbrief/3117-180409-1

◆国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」 (Security NEXT, 2018/04/20)
http://www.security-next.com/092104

◆2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で (Security NEXT, 2018/08/03)
http://www.security-next.com/096397

◆チェック・ポイント、2018年7月のマルウェア・ランキング IoTやネットワーク機器を狙う攻撃が2018年5月から倍増 (Biglobe, 2018/08/28)
https://news.biglobe.ne.jp/economy/0828/dre_180828_0395044721.html

◆memcachedやMiraiによるDDoS攻撃を観測、IIJが2018年7月のセキュリティレポート公開 (@IT, 2018/09/05 08:00)
http://www.atmarkit.co.jp/ait/articles/1809/05/news040.html

◆チェック・ポイント、2018年7月のマルウェア・ランキング IoTやネットワーク機器を狙う攻撃が2018年5月から倍増 (Biglobe, 2018/08/28)
https://news.biglobe.ne.jp/economy/0828/dre_180828_0395044721.html

◆「Mirai」ボットネットの作者、実刑を免れる--FBIへの捜査協力と引き換えに (ZDNet, 2018/09/20 12:05)
https://japan.zdnet.com/article/35125880/

◆「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 (Gigazine, 2018/09/20 12:30)
https://gigazine.net/news/20180920-mirai-botnet-creators-helping-fbi/

◆Linuxサーバに焦点を絞ったマルウェア「Mirai」登場、大規模DDoSの可能性 (マイナビニュース, 2018/11/25 18:15)
https://news.mynavi.jp/article/20181125-728709/
http://malware-log.hatenablog.com/entry/2018/11/25/000000


■2019年

◆続々と登場する新種ウイルス 機器をDDoS攻撃の踏み台に (日経XTECH, 2019/05/30 07:01)
https://tech.nikkeibp.co.jp/atcl/nxt/mag/nnw/18/052300058/052300002/?i_cid=nbpnxt_reco
https://malware-log.hatenablog.com/entry/2019/05/30/000000_8


【ブログ】


■2016年

◆MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.. (malwaremustdie, 2016/08/31)
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://malware-log.hatenablog.com/entry/2016/08/31/000000_1

◆Linuxを狙う脅威の最新動向 (Trendmicro, 2016/09/28)
http://blog.trendmicro.co.jp/archives/13870
https://malware-log.hatenablog.com/entry/2016/09/28/000000

◆Source Code for IoT Botnet ‘Mirai’ Released (Krens on Security, 2016/10/01)
https://krebsonsecurity.com/tag/bashlight/
https://malware-log.hatenablog.com/entry/2016/10/01/000000_2

◆An Analysis of Mirai Malware (networkingexchangeblog, 2016/10)
https://networkingexchangeblog.att.com/business/analysis-mirai-malware/
https://malware-log.hatenablog.com/entry/2016/10/01/000000_1

◆「みらい」の次は「はじめ」? (ごった日記, 2016/10/22)
http://mokake.hatenablog.com/entry/2016/10/22/174956
https://malware-log.hatenablog.com/entry/2016/10/22/000000

◆新しい「Mirai」、ルータを狙うポート7547への攻撃が示す今後の脅威 (Trendmicro, 2016/12/02)
http://blog.trendmicro.co.jp/archives/14108

◆LinuxとIoTデバイスを狙うマルウェア「Rakos」。ボットネット構築型が今後の主流に (neoview, 2016/12/30)
http://neoview.blog.jp/


■2017年

◆Who is Anna-Senpai, the Mirai Worm Author? (krebs on security, 2017/01/17)
https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/
https://malware-log.hatenablog.com/entry/2017/01/17/000000_5

◆ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加 (Trendmicro, 2017/02/14)
http://blog.trendmicro.co.jp/archives/14455
https://malware-log.hatenablog.com/entry/2017/02/14/000000_1

◆カスペルスキー、Windows環境下でマルウェア「Mirai」を拡散する新たなマルウェアを解析し、約500システムへの攻撃を確認 (Security Insight, 2017/03/01)
https://securityinsight.jp/news/13-inbrief/2311-170301-1
https://malware-log.hatenablog.com/entry/2017/03/01/000000

◆Kaspersky Lab、Windows環境下でマルウェア「Mirai」をLinuxベースのIoT機器に拡散するマルウェアの解析結果を発表 (インプレスビジネスヘッドライン, 2017/02/28)
https://thinkit.co.jp/news/bn/11517
https://malware-log.hatenablog.com/entry/2017/02/28/000000_6

◆IoTウイルス「Mirai」にBitcoinのマイニング機能が一時的に実装!IBM X-Forceの調査では中国人グループの犯行か?Miraiの感染被害は依然拡大中 (BLOGOS, 2017/04/12 19:25)
http://blogos.com/article/218006/
https://malware-log.hatenablog.com/entry/2017/04/12/000000_2

◆Mirai ボットネットをもてあそぶ新たな IoT マルウェア「Hajime」 (Naked Security, 2017/04/20)
https://nakedsecurity.sophos.com/ja/2017/04/20/the-iot-malware-that-plays-cat-and-mouse-with-mirai/
https://malware-log.hatenablog.com/entry/2017/04/20/000000_1

◆Hajime, Miraiによる通信の推移 (2017/09/08)
https://sect.iij.ad.jp/d/2017/09/072602.html

◆続報:南米および北アフリカで「Mirai」の新しい亜種による攻撃を確認 (Trendmicro, 2017/12/07)
http://blog.trendmicro.co.jp/archives/16593

◆国内における Mirai 亜種の感染急増 (2017年11月の観測状況) (IIJ-SECT, 2017/12/07)
https://sect.iij.ad.jp/d/2017/12/074702.html


■2018年

◆Satori Botnet Turns IoT Devices Into Zombies By Borrowing Code from Mirai (McAfee, 2018/02/09)
https://securingtomorrow.mcafee.com/business/satori-botnet-turns-iot-devices-zombies-borrowing-code-mirai/

◆Torii botnet - Not another Mirai variant (Avast, 2018/09/27)
https://blog.avast.com/new-torii-botnet-threat-research

◆Mirai: Not Just For IoT Anymore (NETSCOUT, 2018/11/21)
https://asert.arbornetworks.com/mirai-not-just-for-iot-anymore/
http://malware-log.hatenablog.com/entry/2018/11/21/000000

◆Now Mirai Malware Attack as Miori delivered via Delivered via Remote Code Execution Exploit (GBHackers, 2018/12/22)
https://gbhackers.com/mirai-malware-attack-miori/
http://malware-log.hatenablog.com/entry/2018/12/22/000000

◆With Mirai Comes Miori: IoT Botnet Delivered via ThinkPHP Remote Code Execution Exploit (Trendmicro, 2018/12/28)
https://blog.trendmicro.com/trendlabs-security-intelligence/with-mirai-comes-miori-iot-botnet-delivered-via-thinkphp-remote-code-execution-exploit/
http://malware-log.hatenablog.com/entry/2018/12/28/000000_1


■2019年

◆Mirai の新亜種を確認、ルータやデバイスにおける13件の脆弱性を利用 (Trendmicro, 2019/06/03)
https://blog.trendmicro.co.jp/archives/21480
https://malware-log.hatenablog.com/entry/2019/06/03/000000_5


【公開情報】

◆Warning: Satori, a Mirai Branch Is Spreading in Worm Style on Port 37215 and 52869 (360.com, 2017/12/06)
http://blog.netlab.360.com/warning-satori-a-new-mirai-variant-is-spreading-in-worm-style-on-port-37215-and-52869-en/


【ソースコード】

◆Mirai-Source-Code (jgamblin)
https://github.com/jgamblin/Mirai-Source-Code/


【図表】

f:id:tanigawa:20170312101603j:plain
マルウェア「Mirai」に感染したIoT機器によるボットの国別状況
出典: http://www.itmedia.co.jp/enterprise/articles/1610/20/news061.html

f:id:tanigawa:20180603142446j:plain
出典: http://ascii.jp/elem/000/001/277/1277732/

f:id:tanigawa:20170312095536j:plain
あて先がポート37777/TCPおよび23231/TCPに対するアクセスによる感染活動のイメージ
f:id:tanigawa:20170312095552j:plain
あて先ポート6789/TCPに対するアクセスに含まれるコマンド文字列
出典: http://www.itmedia.co.jp/enterprise/articles/1701/24/news101.html

関連情報


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆IoT Malware (まとめ)
https://malware-log.hatenablog.com/entry/IoT_Malware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019