MQsTTang バックドアは、システムの脆弱性を悪用して IoT デバイスを標的にします
MQTTang バックドアは、モノのインターネット (IoT) デバイスを標的とし、コマンド アンド コントロール (C&C) サーバーとの通信手段として MQTT (Message Queuing Telemetry Transport) プロトコルを使用するトロイの木馬の脅威です。 2018 年に、パロアルトネットワークスのグローバル脅威インテリジェンス チームである Unit 42 の研究者によって最初に発見されました。
MQTTang バックドアは、多段階の感染プロセスを使用して検出を回避し、IoT デバイスを侵害する高度なマルウェアです。最初の段階では、インターネットをスキャンして、MQTT プロトコルを使用する脆弱な IoT デバイスを探します。脆弱なデバイスが特定されると、マルウェアは既知の脆弱性を悪用するか、デフォルトのログイン資格情報を使用して、そのデバイスへのアクセスを取得します。
MQTTang バックドアは、C&C サーバーからアップデートと指示をダウンロードする可能性があります
マルウェアがデバイスにアクセスすると、MQTT プロトコルを使用してコマンド アンド コントロール サーバーと通信します。サーバーはマルウェアにコマンドを送信します。これには、データの盗用、DDoS 攻撃の開始、または追加のマルウェアのインストールが含まれる場合があります。このマルウェアは永続的に動作するように設計されています。つまり、感染したデバイスを再起動しても存続し、コマンド アンド コントロール サーバーとの通信を継続できます。
MQTTang バックドアのユニークな機能の 1 つは、MQTT プロトコルを使用してコマンド アンド コントロール サーバーと通信できることです。 MQTT プロトコルは軽量のメッセージング プロトコルであり、効率的で限られたネットワーク帯域幅で動作できるため、IoT デバイスで一般的に使用されています。ただし、マルウェアの作成者にとって魅力的な標的にもなります。これにより、感染したデバイスと疑われることなく通信できるようになるからです。
システムを MQTTang バックドア攻撃から保護するための緩和策
MQTTang バックドアやその他の同様のマルウェアから保護するには、IoT デバイスを保護するためのベスト プラクティスに従うことが不可欠です。これには、デフォルトのログイン資格情報の変更、ソフトウェアのアップデートとパッチが利用可能になり次第適用すること、および強力なパスワードを使用することが含まれます。さらに、ファイアウォールと侵入検知システムを使用して、ネットワーク トラフィックを監視し、疑わしいアクティビティを検出することをお勧めします。