パロアルトネットワークス、脅威インテリジェンスチーム「Unit 42」は、IoT/LinuxマルウェアTsunamiの亜種である「Amensia」によるボットネット攻撃を公式ブログで報告している。同マルウェアはTVT Digital社製デジタルビデオレコーダー機器に存在する脆弱性を狙うもので、Miraiのような大規模なDDos攻撃への注意喚起を行っている。
脆弱性は2016年3月22日に公表されたもので1年以上経過しているが現在にいたるまで脆弱性の修正パッチがリリースされた形跡がなく、フィンガープリントから世界70カ国22万7千台のDVR機器が無防備な状態で分布していることを把握しており、昨年行われたようなMiraiボットネットにようるDDoS攻撃に利用される恐れがあると注意を喚起している。
脆弱性のあるTVT Digital社製DVR機器分布マップ同社公式ブログ |
「Amnesia」は、TVT Digital社製DVRに含まれるリモートコード実行脆弱性の有無をスキャンし、脆弱性を見つけるとコントロ-ルサーバと通信し、シェルスクリプトを生成・実行し、コントロールサーバからのシェルコマンドを待機、HTTPフラッド/UDPフラッドによるDDoS攻撃開始コマンドを開始する。また、WindowsやAndroid用には一般的なマルウェア解析用のサンドボックスを避ける最初のLinuxマルェアとなる可能性についても言及しており、VirtualBox、VMware、QEMUなどをベースにしている仮想マシン上で自身が実行されているか否かを調べ、仮想上での実行であればシステム内のすべてのファイルを削除、仮想LINUXシステムを消去しようとする。
同社ブログではAmnesiaのC&C(C2)サーバーへのトラフィックは遮断した方が良いとC2ドメインおよび IPアドレス、Amnesia のサンプルSHA-256値を掲載、詳細な解説を掲載している。