Michi-kusa

大切なものはいつだって形のないもの ... The important things are always the ones without form ..


テーマ:

セキュリティ関連企業「Sophos」のブログで見かけた記事が気になったので覚書。
Another iPhone worm - and this time it's malicious | Chester Wisniewski's Blog
( 新たなiPhoneワームウィルス - 今回は危険で悪質なワームが発生 )

Michi-kusa



クリスマスや新年など楽しい休暇シーズンには新種のウィルスがでまわったりしますが、今度はiPhoneを狙ったウィルスが。

jailbroken iPhone ( 脱獄iPhone ) やiPod Touchを介して広まる 「 iPhoneOS.Ikee.B 」 という新しいワームウィルスが発見され、オランダなどで感染が確認されているようです。 ネットワークを介して別のコンピュータをコントロールするプログラムSSH(OpenSSH)の既存パワードを利用して広まり、個人情報などのデータを盗み出し、マルウェアをダウンロードさせ、新たなターゲットへと感染していくワームウィルス。 攻撃者からコントロールされて第3者への攻撃するようなボットネットの一部と化してしまう、iPhone初のボットネットウィルス。これはWi-Fi(無線LAN)で感染を拡大させているようです。

11月初めに「Ikee」「5 Euro Scam」などと呼ばれる世界初のiPhoneウィルス が話題になっていましたが、今回のiPhoneOS.Ikee.B  は、同様にjailbroken iPhone (脱獄したiPhone)やiPod Touchを利用して入り込む新種ウィルス(または亜種ウィルス)で、コマンドでコントロールされ、ボットネットの一部として機能するということです。 2つのスクリプトから構成されていて、ひとつは自分自身を起動させて、もうひとつは感染した機器から盗んだデータを攻撃者が指定するサーバーへアップロードさせたりするもの。( Conflicker、Downadup などでも使われている手法 )

また、既存でアップルが設定してるファームウェア用のルートパスワード(管理者用パスワード)を変更して、ユーザーがセキュリティのため設定変更をできないようにしてしまうため、少し厄介なようです。

現在分かっている範囲でこの危険を回避するには、iTunesを使って最新のアップルのファームウェアで更新するのが一番シンプルな対処方法のようです。 但し、既にマルウェアが入り込んでしまっていたりウィルス感染しているiPhoneをネットワークに繋ぐ行為は危険も伴うため、注意が必要となります。

感染した機器は、Wi-Fi(無線LAN)を利用することで3Gより多くのIPアドレスへスピーティに広めることが可能となるようです。オランダのISPなど通信会社の回線(無線LAN)を利用して広まったとのこと。ボットネット化したPCと同様ネットワークへのアクセスを活発(頻繁)におこなうため、Wi-Fi接続をONにしているときにバッテリーが急激に消費していたりするような兆候がみられたら、注意をした方がいいかもしれません。

感染した機器には、固有のIDが割り当てられ、攻撃者が機器内部のデータを閲覧が可能となるので、重大なデータの盗聴や盗難へと繋がることになります。

ワームBanker Trojansのように、銀行のSMSを利用した認証へも対応していて、銀行のウェブサイトへログイン(アクティベーション)する際にSMSで送付されてくるワンタイムパスワードも盗み出してしまうようです。(SMS履歴の取得も)

iPhoneのステータス情報の表示は行われず、現在のバージョンではセキュリティソフトウェアの導入も難しいため、物理的なチェックは行えても企業内の環境で行われているような一般的なセキュリティ対応とは異なりそうです。 もし、jailbroken iPhone ( 脱獄iPhone ) が企業内のMirosoft Exchange、WiFi、VPNの環境へ接続されたとしたら...。今後は、貴重なデータがリスクにさらされるということも念頭において検討が必要なのかもしれませんね。


* jailbroken iPhone = jailbreakしたiPhone、脱獄したiPhone
* ウィルスの名称 = iPhoneOS.Ikee.B ( Symantec )、Worm:iPhoneOS/Ikee.B ( F-Secure )、OSX/RRoll.C ( MaCafee )、iBotnetA ( Integro )、iPh/Duh-A ( Sophos )


iPhoneOS.Ikee.B の感染、拡大、駆除する方法について

01:iPhoneOS.Ikee.B とは
02:感染すると (感染と拡大方法)
03:対応方法について (対処例)


以下は、Symantecのウィルス関連情報「iPhoneOS.Ikee.B | Symantec 」(英文) からの引用
 (情報更新日:2009.11.22)

01:iPhoneOS.Ikee.B とは(概要)

jailbroken(脱獄した)iPhoneを介し、SSHの既存パスワードを使い広まっていくワームウィルス。大切な個人情報などのデータを盗み出して、感染した機器にマルウェアをダウンロード。

-------------------------------------------------
名称:iPhoneOS.Ikee.B
発見日:2009.11.22
Virus Type:ワーム
被害レベル及び危険度: 低
対処および駆除:易
ダメージレベル: 低
感染方法:SSHによる拡大
感染レベル: 低
-------------------------------------------------


02:感染すると (感染と拡大方法)

STEP 01
ワームが実行されると、iPhoneが持つ既存のルートパスワード(管理者権限パスワード)を使って、ワームは特定のIPアドレスをSCAN(検索して)SSHクライアント(次のターゲット)へ接続を試みる。
-------------------------------------------------
・192.168.0.0-192.168.3.255
・94.157.100.0-94.157.255.255
・87.103.52.255-87.103.66.255
・94.157.0.0.0-120.157.99.255
・114.72.0.0-114.75.255.255
・92.248.90.0-92.248.120.255
・81.217.74.0-81.217.74.255
・84.224.60.0-84.224.80.255
・188.88.100.0-188.88.160.255
・77.248.140.0-77.248.146.255
・77.54.160.0-77.54.190.255
・80.57.116.0-80.57.131.255
・84.224.0.0-84.224.63.255
-------------------------------------------------

STEP 02
管理者権限でのログインに成功すると、新しいホスト(次のターゲット)へ自分自身をコピー。

/private/var/mobile/home/cydia.tgz

STEP 03
次に、ワームは上記のパッケージを解凍して、その中に入っているスクリプト(プログラム)をインストール。そして、iPhoneを起動したときにワームが開始されるように、下記のバックグラウンドで実行されるプログラム(?)「Daemons」設定ファイルをコピー。
-------------------------------------------------

/System/Lybrary/LaunchDaemons/com.apple.ksyslog.plist
/System/Lybrary/LaunchDaemons/com.apple.period.plist
/System/Lybrary/LaunchDaemons/com.apple.periodic.plist
-------------------------------------------------

STEP 04
ワームは/etc/master.passwordに記述されているパスワード変更。ルートユーザーのパスワードを変更することでデフォルトパスワードは無効となり、ユーザはアクセス不可となり、攻撃者のみが新しいパスワードでログインできるようになる。

STEP 05
さらに、下記パッケージをダウンロードしてインストール。
-------------------------------------------------
adv-cmds_119-5_iphoneos-arm.deb
sqlite3_3.5.9-9_iphoneos-arm.deb
curl_7.19.4-6_iphoneos-arm.deb
-------------------------------------------------

STEP 06
上記パッケージのユーザ名とパス名を、/private/var/mobile/home/[RANDOM_DIGITS]/infoセーブしてコントールサーバーへ送信。( 例:IP address: 92.61.38.16 in Lithuania : リトアニアのサーバー )


03:対応方法について (対処例)

1. 下記のデータが存在する場合は削除

/private/var/mobile/home/duh
/private/var/mobile/home/sshd
/private/var/mobile/home/heh
/private/var/mobile/home/.tmp
/private/var/mobile/home/syslog
/private/var/mobile/home/inst
/private/var/mobile/home/cydia.tgz
/private/var/mobile/home/adv-cmds_119-5_iphoneos-arm.deb
/private/var/mobile/home/sqlite3_3.5.9-9_iphoneos-arm.deb
/private/var/mobile/home/curl_7.19.4-6_iphoneos-arm.deb
/private/var/mobile/home/[random numeric digits]/info
/private/var/mobile/home/[random numeric digits]/sms.txt
/etc/rel

2。既存のルートパスワード ( 管理者権限用パスワード ) を新しいパスワードに変更
( Appleによって“alpine”が初期設定されているようです。 )




■関連

Downadup、Conficker/MS08-067脆弱性でネットワーク感染するUSBウィルス|Michi-kusa
WIRELESS GATE / iPhoneでマクドナルドのWi-Fi接続サービスを利用する方法|Michi-kusa
公衆無線LANし放題 / iPhone 3Gをマクドナルドなどでwi-fi接続するための設定方法|Michi-kusa
AD
いいね!した人  |  コメント(0)  |  リブログ(0)

reimeikeiさんの読者になろう

ブログの更新情報が受け取れて、アクセスが簡単になります

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。