#はじめに
株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。
#月次攻撃サービス(ポート)TOP 10
2020年2月の一か月間収取されたイベントの分析結果、先月とほぼ同じ推移でみられている。月次攻撃サービスTOP 10は、全体の件数と比べて減少した。全体的な特異事項はない。
| 順位 | サービス(ポート) | 比率(%) |
|---|---|---|
| 1 | HTTP(TCP/80) | 45.75% |
| 2 | DNS(UDP/53) | 18.17% |
| 3 | Microsoft-DS(TCP/445) | 15.12% |
| 4 | HTTPS(TCP/443) | 9.12% |
| 5 | ICMP(0/ICMP) | 3.93% |
| 6 | SNMP(UDP/161) | 3.61% |
| 7 | Telnet(TCP/23) | 1.44% |
| 8 | Oracle(TCP/1521) | 1.01% |
| 9 | DNS(TCP/53) | 0.95% |
| 10 | MS-SQL-S(TCP/1433) | 0.89% |
#攻撃サービス(ポート)毎のイベントの比較
2020年2月、1ヶ月間収集されたイベントを分析した結果、全体的な件数は減少した。これはHTTPサービスポートのアクセス件数の急減の影響だと判断される。その他、ポートの比率が上昇したのは、全体のイベント件数の減少による影響で、実際の推移をみると得意事項はない。TCP/445ポートのアクセス件数は多少上昇したと確認され、1月と同一にファイアウォールのアクセス制御に対して持続的な確認が必要だと判断される。
#月次攻撃サービスパターンTOP 10
2020年2月の攻撃パターンTOP10では、HTTP Login Brute Forceのイベント順位が幅広く上昇し、HTTP Connection Limit Exhaustion Attack(By Slowloris)のイベント順位が下落したことが確認された。今月TOP10に新たに確認されたパターンではTLS Malformed Handshake Dos攻撃がある。当該のイベントは操作されたTLSパケットを持続的にサーバに送信し、資源を枯渇させるDoS攻撃の種類で、攻撃を防ぐためには、使用されているTLSバージョンの確認及びセキュリティ機器のしきい値基盤の遮断ポリシーの設定が必要である。
| 順位 | パターン | 比率(%) |
|---|---|---|
| 1 | SMB Service connect(tcp-445) | 92.03% |
| 2 | ACK Port Scan(F/W Scan) | 1.87% |
| 3 | HTTP Login Brute Force | 1.61% |
| 4 | Multi Packet Inspection | 1.35% |
| 5 | Dcom_TCP_Sweep (MSBlaster Worm Messenger) | 0.95% |
| 6 | HTTP Connection Limit Exhaustion Attack (By Slowloris) | 0.71% |
| 7 | MS WINS Server Registration Spoofing Vuln-1[Req] (UDP-137) | 0.54% |
| 8 | HTTP POST Session Exhaustion Attack (By rudy) | 0.48% |
| 9 | Netbios Scan (Messenger RPC Dcom MyDoom)(UDP-137) | 0.27% |
| 10 | TLS Malformed Handshake DoS | 0.19% |
#攻撃パターン毎のイベント比較
先月と比べて、HTTP Login Brute Forceのイベント順位が急増したが、実際のイベントの件数は減少したと確認される。2020年2月の攻撃イベントTOP10では全体的なサービスポートスキャン及びDoS攻撃が多い、SMSサービスポートに対してのアクセス試しイベントが持続的に高く確認されている。当該のサービスはポートを通じて広がるランサムウェア問題の発表後、相当の時間が経っても、SMBポートに対してのアクセス制御処置が適切に行われていない企業があることが確認できた。使用していない危険なポートに対しては遮断、必要な場合は送信元のIPに対してのホワイトリストのポリシー設定を推奨する。
#攻撃パターン毎の詳細分析結果
02月に発生した攻撃パターンTOP10の詳細分析を紹介する。
詳細分析結果を参考にし、同じ攻撃パターンを検知している場合、当該のシステムの脆弱性を事前に処置することをお勧めする。
| 攻撃パターン | 詳細分析結果 |
|---|---|
| SMB Service Connect(TCP/445) | Microsoft Windowsは他のパソコンとファイル及びプリンタの資源を共有するために、SMBプロトコルを使用する。Windowsの古いバージョン(つまり、95, 98, Me, NT)からのSMB共有はTCPポートの137, 139とUDPポート138からNetBIOS over TCP/IPを通じて直接SMB操作が可能であり、推測できるパスワードを使用していたりパスワードが設定されずファイル共有を行う場合、悪意的な攻撃による2次的な攻撃が発生される可能性がある。 |
| ACK Port Scan(F/W Scan) | ACK Port Scan(FW Scan)とはファイアウォールのポリシーから不要に許可している脆弱なポートをスキャンする攻撃である。攻撃者は特定のパケットをサーバに送り、その応答のパケットを分析してファイアウォール上で許可されているポートの情報を収集することができる。 |
| HTTP Login Brute Force | この攻撃はHTTP WEBサービスポート(TCP/80)にアクセスして特定のID(root, guestなど)のパスワードをクラッキングするツールキットを利用する。繰り返し任意の文字列を入れて確認する方法で、パスワードが推測しやすいもしくは、リスト型に登録されている場合、簡単にクラッキングされる。これはアカウントとパスワードは最低限6桁以上で、単純なパターンは使わずに、HTTPポート(TCP/80)に送信されるデータはFilteringして予防できる。 |
| Multi Packet Inspection | 特定のIPSから発生できるルールで、IPSに設定されている自動パターン学習の防御機能によって検知される。IPSに設定されているサイズ(Bytes)より大きいパケットが同じパターンで繰り返しIPSに送信され、そのパケットがIPSに設定されているPPS以上であれば、指定されている時間の間、アクセスを遮断する。 |
| Dcom TCP_Sweep(MSBlaster Worm Messenger) | W32.Blaster.WormワームはDCOM RPC Buffer Overflow脆弱性を利用して感染させるワームの種類で、当該のワームはTCP/135ポートの使用有無を確認し、脆弱性が発見された場合、システムを感染させる。感染したシステムはTCP/4444ポートを有効化し、C&Cサーバから不正ファイルをダウンロードしてレジストリに登録する。このような過程で感染したシステムのトラフィックが増加する。 |
| HTTP Connection Limit Exhaustion Attack(By Slowloris) | Slowlorisは既存のDoS攻撃(大量のパケットを送信)とは違ってウェブサーバに異常なHTTP Requestを送信することでTCPの繋がりを維持する攻撃ツールである。攻撃対象のウェブサーバはConnection資源枯渇の状態になり、ユーザーの要請に応答ができなくなるサービスサービス拒否状態になる。 |
| MS WINS Server RegistrationSpoofing Vuln-1[Req](UDP/137) | 当該の攻撃はWindows WINSサーバにネームが登録される過程の中でNetBIOS通信を適切に検証しない場合発生する脆弱性である。脆弱性を利用して攻撃者はウェブプロキシのスプーフィングを行い、意図したアドレスにインターネットトラフィックがリダイレクトできる。 |
| HTTP POST Session Exhaustion Attack(By rudy) | R.U.D.Yは「R-U-Dead-Yet」の略称で、HTTPのPOST Methodを利用したConnection資源枯渇サービス拒否攻撃(Denial of Service)ツールである。不完全なHTTPヘッダと分割されているデータを利用し、正常に終了されないConnectionを大量に発生させて、対象のConnction資源を枯渇させる。 |
| Netbios Scan(Messenger RPC Dcom MyDoom)(UDP/137) | NetBiosはUDP137ポートでお互いの情報を確認し、TCP139でセッションを組んだ後、TCP138で情報を交換する。攻撃者はUDP137ポートを利用した攻撃対象のシステムとセッションを組んで、対象のシステムから共有しているディレクトリ及びネットワーク情報をスキャンすることができる。 |
| TLS Malformed Handshake DoS | TLS Malformed Handshake DoS攻撃は、悪意的に操作されたTLSパケットを利用したDoS攻撃の種類で、悪意的に操作されたTLS ClientがHandshakeをする過程に発生する。リモートの攻撃者が悪意的に操作されたTLSパケットを対象システムに送ることでシステムの負荷を発生させる攻撃である。 |
#まとめ
2020年2月の月次攻撃の動向について紹介しました。
今月も「SMB Service connect」パターンが高い割合を占めています。一時期流行っていたランサムウェアである「WanaCrypt0r」もWindowsのSMB脆弱性を利用した攻撃です。
公共機関及び企業だけではなく、家庭でも必要ないプロトコルやポートに対して十分に気を付け、インシデント被害を最小化するように準備する必要があると思います。
株式会社サイバーフォートレスは引き続き情報を収集し、分析の結果を発表しようと思っています。
##記事まとめ
2020年02月12日 - 
[月次配信] 月次攻撃サービスの統計及び分析 - 2020年1月