6/12/2017

Raspberry Piに感染するワーム

BoingBoingより

Linux.MulDrop.14は、デフォルトのrootパスワードを使ってネットワークに接続されたRaspberry Piを探し出すLinuxワームである: 奪取に成功すると、ZMapとsshpassをインストールし(他の感染先を探す)、不特定の暗号通貨をマイニングを始め、マルウェアの作者に富を作り出し、あなたに電気料金を負担させる。

専門家は、Raspberry Piの運用者がデバイスのSSHポートを外部接続向けに開放したままの状態にすると初期感染が起こると言う。

Raspberry Piデバイスが感染すると、マルウェアは"pi"のアカウントのパスワードを次のように変更する:

\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj. p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1

その後、Linux.MulDrop.14はいくつかのプロセスを落とし、ZMapやsshpassなどの操作に必要なライブラリをインストールする。

そして、マルウェアは暗号通貨のマイニングプロセスを開始し、ZMapを使って、SSHポートがオープンになっている他のデバイスを探すためにインターネットをスキャンし続ける。

デバイスが見つかると、マルウェアはsshpassを使って、ユーザ名"pi"とパスワード"raspberry"を使って、ログインしようとする。このユーザ名/パスワードの組み合わせのみが使用される。つまり、マルウェアは、Raspberry Piのシングルボードコンピュータのみを対象としている。

Linux Malware Mines for Cryptocurrency Using Raspberry Pi Devices [Catalin Cimpanu/Bleeping Computer]

Slashdot