オリジナルの記事はThreatSTOP社Ofir Ashmanが書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/torii-the-new-iot-botnet
新しいIoTボットネットの登場
新しい洗練されたIoTボットネット、通称Toriiが発見されました。
Toriiマルウェアの進化したポイントの一つが、100種類以上の亜種を持ち、15の異なるアーキテクチャをサポートし、どんなタイプのスマートフォン、PC、タブレットでも起動できてしまうことです。
Toriiによる攻撃は、IoTの脆弱な認証情報の搾取から始まります。
その後、Telnet攻撃をしかけ、シェルスクリプトが端末のアーキテクチャを判別します。そして、関連のペイロードがダウンロードされ、Toriiがインストールされます。
Toriiには様々な情報流出を引き起こさせる機能だけでなく、継続的なメンテナンス機能が豊富に備えられており、端末からの削除が困難です。
ThreatSTOPでは、Toriiに対抗するための脅威アドレス、脅威ドメインのリストを作成しました。このリストをFirewall、DNSサーバに適用することでToriiをブロックすることができます。
- TS Originated - Core Threats – Ips
- TS Originated - Core Threats - Domains
参考記事:DNSサーバのリプレースで実現するDNS Firewall
脅威インテリジェンスの専門ベンダー ThreatSTOP
ThreatSTOP社は脅威インテリジェンスの専門ベンダーです。
[SMART_CONTENT]米軍やイスラエル軍の出身者が多く、独自のルートを使用してインテリジェンスを収集、精査し、ファイアウォール、DNSへ最短15分間隔で配信し、攻撃の種類を問わず、既知の攻撃者との通信の可視化・ブロックを実現しています。
[RELATED_POSTS]
