WireX ボットネットからモバイル ネットワークを保護する

概要、地域管理者 SAARC、A10 ネットワーク

2016 年 10 月、Mirai ボットネットは、ルーター、ウェブカメラ、DVR、IP カメラ、サーモスタット、デジタル ビデオ レコーダー、その他のインターネットに接続されたデバイスなどの多数のデバイスに、1 Tbps のスループットを超える DDoS ペイロードを展開するよう命令しました。ボットネットは、サーバー、アプリケーション、サービス、Web サイトをダウンさせる大規模な DDoS 攻撃を開始するために使用されました。表示されますみらい何らかの競争があるかもしれません。その名前は WireX ボットネットです。

Googleは最近、Playストアから約300のアプリを削除した研究者らは、問題のアプリが密かに Android デバイスをハイジャックし、複数のコンテンツ配信ネットワーク (CDN) やコンテンツ プロバイダーに対する大規模な分散型サービス拒否 (DDoS) 攻撃にトラフィックを供給していることを発見しました。

Akamai、Cloudflare、Flashpoint、Google、Oracle Dyn、RiskIQ、Team Cymru およびその他の組織の研究者チームによると、WireX ボットネットが原因であるとのことです。

Akamai の研究者が WireX を初めて発見したのは、その顧客の 1 つである多国籍ホスピタリティ企業を攻撃するために、数十万の IP アドレスからトラフィックを送信するために使用されていたときでした。

「WireXボットネットは主に悪意のあるアプリケーションを実行するAndroidデバイスで構成され、DDoSトラフィックを作成するように設計されています。ボットネットはターゲットへの身代金メモに関連付けられる場合があります」とCloudflareはブログ投稿で書いた。
WireX は、ハイジャックされたデバイスを使用して、大量のアプリケーション層の DDoS 攻撃を開始したと Cloudflare は指摘しました。攻撃ノードによって生成されたトラフィックは主に HTTP GET リクエストでしたが、一部の亜種は POST リクエストを発行できるようでした。つまり、ボットネットは、一般的な HTTP クライアントや Web ブラウザからの有効なリクエストに似たトラフィックを生成します。

問題の悪意のあるアプリケーションには、メディア、ビデオ プレーヤー、着信音、ストレージ マネージャーなどのその他のツールが含まれていました。 Gizmodo によると、これらの悪質なアプリには、Android デバイスの電源がオンになっている限り、Android デバイスを使用して DDoS 攻撃に参加する可能性がある隠れたマルウェアが含まれていたとのことです。

感染したデバイスの数は不明です。ある研究者は KrebsOnSecurity に対し、WireX は少なくとも 70,000 台のデバイスに感染したが、その推定は控えめであると指摘しました。攻撃には 100 か国以上のデバイスが使用されたと考えられています。

「7 万というのは安全な賭けだった。なぜなら、このボットネットは、高速道路を運転していて、携帯電話が何らかの Web サイトを攻撃しているときに、デバイスが攻撃ログに 3 つ、4 つ、あるいは 5 つの異なるインターネット アドレスとともに表示される可能性があるからです。」と、Akamai のシニア エンジニアである Chad Seaman 氏は KrebsOnSecurity とのインタビューで述べました。 「感染したデバイスからの攻撃が 100 か国以上で確認されました。攻撃はどこからでも来ていました。」

WireX は、その前身である Mirai と同様に、ネットワークとアプリケーションを攻撃から保護することの重要性を示しています。大規模な攻撃は、数万台の Android デバイスで構成されるボットネットを含め、どこからでも行われる可能性があります。この種の攻撃の頻度、巧妙さ、規模が増大するにつれ、組織は大規模な被害をもたらす前に攻撃を阻止するためのソリューションを導入する必要があります。

WireX は、新たな脅威である武器化されたスマートフォンを導入するという点で独特です。これは、モバイル ネットワーク上で悪意のあるエージェントを伝播する可能性のある感染に適した数十億のエンドポイントを導入します。

従来、モバイルおよびサービス プロバイダーのネットワークは、インターネット経由で侵入する攻撃から保護されてきました。ただし、攻撃はインターネット エッジで阻止されるという前提に基づいて、多くの重要なコンポーネントが保護されないままになっています。 WireX のような攻撃は、このパラダイムを変えます。

「WireX は、モバイル ネットワーク内部からも攻撃が発生する可能性があり、数千の感染したホストがモバイル ネットワークの脳に影響を与える可能性があることを証明しました」と A10 製品管理ディレクターのヤシル・リアカトゥラ氏は述べています。 「これらの感染したスマートフォンは、最終的にはモバイル ネットワークの重要なコンポーネントを攻撃し始め、それによる潜在的な影響は甚大になる可能性があります。」

WireX のような攻撃により、サービス プロバイダーは、外部からだけでなく内部からの攻撃からも、あらゆる面で主要な資産を保護する必要性が高まります。

WireX のような攻撃に対抗するには、サービス プロバイダーやモバイル ネットワーク オペレーターには、インテリジェントでスケーラブルなシステムが必要です。スマートフォンとモバイル ネットワーク インフラストラクチャの間（内部および外部）。この高度な種類の攻撃に対処するために、最新の DDoS ソリューションには、WireX によって開始される攻撃のようなシグネチャやさまざまなヘッダーを変更する機能を備えたポリモーフィック攻撃の変化する性質を理解するインテリジェンスが必要です。

モバイル ネットワークに高性能、スケーラブル、インテリジェントな脅威保護を配置することで、サービス プロバイダーはこれらの数十億の武器化されたエンドポイントを防御し、オンラインの脅威やマルチベクトル攻撃タイプの攻撃を検出し、そこから学習し、最も重要なことにそれらを阻止できるようになります。

多層アプローチにより、サービス プロバイダーと携帯電話事業者のインフラストラクチャ全体が、内部と外部の両方で脅威から確実に保護されます。また、高性能 DDoS ソリューションは、WireX を利用した攻撃など、メガビットからテラビットまでのマルチベクトル DDoS 攻撃から保護できます。