Kimwolf自体は、よく聞くような感染マシンをDDoS攻撃に加担させるマルウェア。
これがレジデンシャルプロキシを提供しているマシンから内部ネットワークをスキャンして、見つかった脆弱なマシンに侵入して感染を広げているとのこと。
レジデンシャルプロキシは、どこかの誰かの内部ネットワーク
以前取り上げたAISURUもKimwolfに似たようなマルウェアで、こういうのはAndroid TV ストリーミングボックスやSTBと言われるような製品に仕込まれていたりする。
そうやって購入された製品が内部ネットワークに接続されることで、個人のネットワークからDDos攻撃に加担させられたり、レジデンシャルプロキシサービスを勝手に提供されたりする。
レジデンシャルプロキシサービスはマルウェアに感染した端末で運営されているものもある。プロキシサービスの利用者は、実際にはこれらのマルウェア感染済みのどこかの誰かの端末を経由して、別のグローバルIPからインターネットにアクセスすることになっているということ。
つまり、レジデンシャルプロキシサービスを使用することで一度内部ネットワークを経由していることになる。
レジデンシャルプロキシサービスの脆弱性
レジデンシャルプロキシサービス運営側は、当然のことながらプロキシしているマシンの内部ネットワークに侵入されないように対策はしているようだ。例えば、10.0.0.0/8、192.168.0.0/16、172.16.0.0/12にアクセスできないようにするなど。
しかしKimwolfは、このような制限下でもレジデンシャルプロキシの脆弱性を使用して内部ネットワークのスキャンを行う。
例えば、攻撃者が制御できるドメイン(xd[.]resi[.]io)のDNS Aレコードを内部ネットワークのIP(192.168.0.1)や0.0.0.0を指すように設定する。それをプロキシ経由のリクエストで使用する。これによって実質外部のドメインの解決を行っているように見せかけて、内部ネットワークにアクセスできるようになったとのこと。
$ nslookup xd[.]resi[.]to Non-authoritative answer: Name: xd[.]resi[.]to Address: 0.0.0.0
A Broken System Fueling Botnets | Synthient
こうして、内部ネットワークへの足掛かりを手に入れたあとは脆弱性スキャンや実際に侵入して感染を広げていく。
レジデンシャルプロキシの内部ネットワークへのアクセスのブロックと言っても、おそらく基本的にはドメインベース?なのか。もしくは、プロキシマシンからDNS解決を経由したアクセスは想定されて無さそう。なので、こんなことが上手くいってしまったのだろう。
感染を広げると言っても結局のところ、DDoS攻撃に加担させたりレジデンシャルプロキシサービスを始めたりしているようだ。が、いくつものレジデンシャルプロキシサービスの同じような脆弱性を悪用したことで急激に感染端末を増やし、KimwolfのDDoS・レジデンシャルプロキシサービスの規模を短期間で拡大させているようだ。
