Mirai派生のHajimeボットネット、元祖と戦っていた模様

Mirai(みらい)ボットネットのソースが公開されたことを受けて、その派生として作られたHajime(はじめ)については以前も触れました。

mokake.hatenablog.com

また、最近は脆弱なIoT機器を使用不能にするBrickerBotという「明らかにやりすぎ」な防衛マルウェアもありました。

mokake.hatenablog.com

さらに、この2つを足して1.5で割ったような事例が起きていることが判明しました。

「機器を守るため、とあるハッカーが他よりも早い侵入を試みる」

thehackernews.com

Hajimeの解析が進み、その実態が明らかになりました。主な特徴は次の通りです。

  • ボットネットの通信は分散型P2Pネットワークを採用(MiraiはC&Cサーバを使用)
  • 感染すると、4つのポート(23, 7547, 5555, 5358)を閉じる
  • DDoSなどの攻撃は行わない(他マシンへの感染は行う)
  • プロセスやファイルの隠蔽を図る
  • 10分に1回、ターミナルに次のメッセージを出力(※記事では「terminal」とあります。標準出力?)

Just a white hat, securing some systems.

Important messages will be signed like this!

Hajime Author.

Contact CLOSED Stay sharp!

(一介のホワイトハット、システムの防御に参上

重要なメッセージは、こうやって署名しておくもんだ!

Hajime作者より

連絡は以上。気を抜くなよ!)

以上の特徴から、このHajimeは「正義のハッカー」と自認する者が展開している可能性が高いと考えられています。

Hajimeは既に1万以上のノードがあるとされており、少なくともHajimeが稼動している機器にMiraiは(当面)入れないため、意義はあるにはあるのですが、ほとんどの場合、この行為自体が違法な上、機材が再起動された場合、(ファームウェアがアップデートされない限り)再びMirai等との取り合いになってしまいます。