最近のサイバーセキュリティニュース Infoblox Threat Intelは、13,000台のMikroTikデバイスを侵害するボットネットを発見した!このボットネットは、SPF DNSレコード設定の脆弱性を悪用し、電子メール防御を回避していました。悪用後、ボットネットは約20,000のウェブドメインを偽装し、マルウェアを拡散しました。
主なポイント
- ボットネットが数千台のMikroTikデバイスを侵害し、マルスパムキャンペーンを展開。
- 悪用されたのは、許可された SPFコンフィギュレーションによって発生した。
- その結果、マルウェアを添付したなりすまし攻撃が蔓延した。
- 主な教訓としては、寛容なSPF設定を避けること、DNSレコードを定期的にチェックすること、マクロでホスト型SPFサービスを使用することなどがある。
ボットネットが持続的な脅威である理由
ボットネットとは、脅威行為者によって遠隔操作され、制御される危険なデバイスのネットワークである。ボットネットは、古くからサイバーセキュリティに対する根強い脅威でした。ボットネットは広範囲に分散しているため、大規模な悪意のある活動を拡散するための容易な媒介となっています。
ボットネットは過去に以下のような被害をもたらしている:
- 分散型サービス拒否(DDoS攻撃)標的のネットワークを圧倒し、サービスを停止させたり、防御側の注意をそらしたりする。
- スパムとフィッシングキャンペーンスパムやフィッシングは、機密情報を盗んだりマルウェアを拡散したりするために、悪意のある電子メールで受信トレイを埋め尽くします。
- クレデンシャル・スタッフィング 盗まれた認証情報を使ってログイン試行を自動化する。
- データ窃盗利益やさらなる攻撃のために個人または企業のデータを抜き取ること。
- クリプトジャッキング暗号通貨を採掘するためにデバイスのリソースを乗っ取ること。
- プロキシネットワークとクリック詐欺クリック詐欺とは、攻撃者の所在地を不明瞭にし、広告主を欺く行為。
Infobloxが発見した最近のマルウェア・スパム・キャンペーンでは、ボットネットが13,000台以上の侵害されたMikroTikルーターを利用していた。これは、サイバーセキュリティ業界にとって懸念が高まっている。
マルウェア・キャンペーンの解剖
運賃請求書スパム
2024年11月下旬、Infobloxが請求書スパムキャンペーンを発見し、キャンペーンが開始されました。このスパムメールは、悪意のあるJavaScriptのペイロードを含むZIPファイルとともに、DHLの配送請求書になりすまして送信されました。この ZIP添付ファイルのような一貫した命名規則がありました:
- 請求書(2~3桁の番号).zip
- トラッキング(2-3桁の番号).zip
ペイロード分析
ZIPファイル、別名JavaScriptファイルは、Powershellスクリプトを実行した。これらは、不審なIPアドレスでホストされていたマルウェアのコマンド&コントロール(C2)サーバーに接続されていました。このIPアドレスは、過去にウェブ上で悪質な活動を行った履歴がありました。これにより、ボットネットはネットワークを構築し、トロイの木馬型マルウェアの連鎖的な配布を開始しました。
MikroTikルーターはどのように危険にさらされたのか?
Infobloxの調査によると、13,000台以上のMikroTikルーターがボットネットに乗っ取られていました。これらのルーターはSOCKSプロキシーとして設定されていました。これにより、ルーターの出所が隠蔽され、ボットネットを特定することができなくなりました。
MikroTikルーターは、その固有の致命的な脆弱性により、ボットネットのターゲットになりやすかった:
- このルーターには、認証されたアクセスで容易に悪用可能なリモートコード実行の欠陥がある。
- SOCKプロキシを導入することで、脅威行為者は本来の身元を隠すことができた。
- いくつかのデバイスは、空白のパスワードを含むデフォルトの "admin "アカウントで出荷された。
マルスパムキャンペーンを可能にするSPFの誤設定の役割
受信側のメールサーバーは、DNSのTXTレコードを通じてメール送信者の正当性を認証する。SPF(センダー・ポリシー・フレームワーク)レコードはその一例である。しかし、何千もの送信ドメインにある寛容なSPFレコードは、攻撃者が認証チェックをバイパスするために必要な抜け穴となった。
誤ったSPFレコードの設定例
非許可SPFレコードの例を以下に示す:
v=spf1 include:example.domain.com -all
この例では、指定されたサーバーだけがドメインに代わってメールを送信できるようにしています。明示的に許可されていないドメインはSPFに失敗します。
寛容なSPFレコードの例を以下に示す:
v=spf1 include:example.domain.com +all
上記の例では、どのサーバーでもドメインの代理としてメールを送信できるため、なりすましやなりすましが可能になります。Inflobloxは、悪意のあるキャンペーンを開始するために、このような寛容なSPF設定が使用されていることを特定しました。
悪用を防ぐためのSPF設定のチェック
ドメインのSPF設定は、以下のいずれかの方法で確認できます:
手動ルックアップ
ドメイン所有者は、NSlookupまたはDigコマンドを使ってSPFレコードを検索できる:
- Linux/MacOSの場合: dig +short txt example.com | grep spf
- Windowsの場合 nslookup -type=txt example.com | Select-String -Pattern "spf"
自動ルックアップ
SPF DNS設定をチェックするもっと簡単な方法は、PowerDMARCの SPFチェッカーツール.
- ツールボックスにドメイン名を入力(例:domain.com)
- 検索」ボタンを押す
- 結果を確認する
とても簡単です!これは、Powershellスクリプトやコマンドを実行することなく、SPFをチェックする手間のかからない即席の方法であり、専門的な知識は必要ありません。
巻末資料:教訓
ボットネットはDNSの脆弱性を悪用し、高度ななりすまし攻撃を仕掛けており、メールセキュリティのベストプラクティスに従う必要性を強調している:
- ドメイン所有者は、DNSレコードを定期的に監査して、適切な SPF、DKIM、およびDMARCの設定を確認する必要があります。
- ドメイン所有者は、過度に寛容なSPFやDMARポリシーの使用を控えなければならない。 DMARCポリシーを長期間使用しないようにしなければならない。
- デバイス上のデフォルトの管理者アカウントを削除または保護する。
- 有効にする DMARCレポートメールトラフィックを監視し、不正アクセスを検出する。
- 最も重要なことは、Hosted SPFのようなSPFマクロ最適化サービスを利用することです。 などの最適化サービスを利用して、SPFのエラーや弱点を修正し、SPF DNSルックアップの制限に簡単に準拠することができます。
MikroTikボットネット・エクスプロイトの発見は、高度なサイバー攻撃の懸念が高まっていることの証しである。企業は、保護された状態を維持するために、セキュリティ・スタックを更新し、AIに裏打ちされた最新のサイバーセキュリティ技術への道を開く必要がある。これにより、企業は無傷のまま脅威の状況をシームレスにナビゲートできるようになる。
- ヤフー、2025年のDMARC導入を推奨- 2025年1月17日
- MikroTikボットネット、SPFの設定ミスを悪用してマルウェアを拡散- 2025年1月17日
- DMARCの認証されていないメールは禁止されている【解決済み- 2025年1月14日