Mikrotik製品を使用したMērisボットネット

最近、Mikrotik製品のRouterOSのアップグレードを行っていない製品を対象にボットネットに組み込み、DDoSを仕掛けるMērisというボットネットを確認した模様。

ニュース

特徴

記事の中で報告されているMerisボットの特徴としては

  • 影響を受けるデバイスでのSocks4プロキシ(Mikrotikデバイスはsocks4を使用しますが、未確認)
  • DDoS攻撃に対するHTTPパイプライン(http / 1.1)技術の使用(確認済み)
  • DDoS攻撃をRPSベースで行う(確認済み)
  • ポート5678を開く(確認済み)

ということで、さらに対象のOSバージョンとしては2017年リリースの6.40.1が特に狙われているらしいです。ただ、今回の記事の中では、最新のstableバージョンである6.48.4もMerisボットネットに含まれているとのことなので、近日中にMikroTik側からアナウンスもしくは対応されたRouterOSが出る可能性があります。

https://blog.qrator.net/en/meris-botnet-climbing-to-the-record_142/ より引用

そして日本で観測できる端末数は約5,000台、Merisボットネット全体の1.5%程度占めているらしいので、日本でRouterboard製品を使用している方は、できる限りRouterOSのアップグレードを行うこと、さらに MNDP(MikroTik neighbor discovery protocol) の設定およびセキュリティ設定を見直すようにしてください。

対策?

まずは2017年から使用している場合はパスワードの変更を行うこと。どうやらその時に流行ったCodeRedのときにパスワードが奪取され、それがそのまま利用されているのではないかとのこと。

また今回のMerisボットネットはMNDPで使用する5678/UDPがオープンポートになっているのを狙っているらしいので、最低限ファイアーウォールでこの辺りを塞ぐ設定が必要があるかと思います。

[[email protected]] /ip firewall filter> export 
add action=drop chain=input \
    dst-port=5678 protocol=tcp
add action=drop chain=input \
    dst-port=5678 protocol=udp

もしくは

/ip neighbor discovery-settings
set discover-interface-list=<LAN側インターフェース>

のような感じになるかと思います。

合わせてSocksも無効化する必要があるそうです。

[[email protected]] /ip socks> /ip socks set enabled=no

参考

2021/09/21 公式ブログにも記事を確認

タイトルとURLをコピーしました