Mirai派生のHajimeボットネット、元祖と戦っていた模様
Mirai(みらい)ボットネットのソースが公開されたことを受けて、その派生として作られたHajime(はじめ)については以前も触れました。
また、最近は脆弱なIoT機器を使用不能にするBrickerBotという「明らかにやりすぎ」な防衛マルウェアもありました。
さらに、この2つを足して1.5で割ったような事例が起きていることが判明しました。
「機器を守るため、とあるハッカーが他よりも早い侵入を試みる」
Hajimeの解析が進み、その実態が明らかになりました。主な特徴は次の通りです。
- ボットネットの通信は分散型P2Pネットワークを採用(MiraiはC&Cサーバを使用)
- 感染すると、4つのポート(23, 7547, 5555, 5358)を閉じる
- DDoSなどの攻撃は行わない(他マシンへの感染は行う)
- プロセスやファイルの隠蔽を図る
- 10分に1回、ターミナルに次のメッセージを出力(※記事では「terminal」とあります。標準出力?)
Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED Stay sharp!
(一介のホワイトハット、システムの防御に参上
重要なメッセージは、こうやって署名しておくもんだ!
Hajime作者より
連絡は以上。気を抜くなよ!)
以上の特徴から、このHajimeは「正義のハッカー」と自認する者が展開している可能性が高いと考えられています。
Hajimeは既に1万以上のノードがあるとされており、少なくともHajimeが稼動している機器にMiraiは(当面)入れないため、意義はあるにはあるのですが、ほとんどの場合、この行為自体が違法な上、機材が再起動された場合、(ファームウェアがアップデートされない限り)再びMirai等との取り合いになってしまいます。