Help us understand the problem. What is going on with this article?

[月次配信] 月次攻撃サービスの統計及び分析 - 2020年3月

はじめに

株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。

月次攻撃サービス(ポート)TOP 10

2020年3月の一か月間収取されたサービスポートTOP10では、IUA(TCP/9900), Unsigned(TCP/7178)ポートを利用したイベントが新しく確認できた、その他、HTTPS(TCP/443), DNS(TCP/53)を利用したイベントの順位が上昇し、DNS(UDP/53), Microsoft-DS(TCP/445)の順位は下落した。IUA(TCP/9900)ポートは内部のサーバ間の通信使使用されるサービスポートで、ファイアウォールから明確なユーザーオブジェクトを指定して使う必要がある。

順位 サービス(ポート) 比率(%) 前月比較
1 HTTP(TCP/80) 38.60% -
2 HTTPS(TCP/443) 19.40% ▲2
3 DNS(UDP/53) 17.85% ▼1
4 Microsoft-DS(TCP/445) 12.36% ▼1
5 ICMP(0/ICMP) 3.54% -
6 SNMP(UDP/161) 3.27% -
7 Telnet(TCP/23) 1.92% -
8 DNS(TCP/53) 1.12% ▲1
9 IUA(TCP/9900) 0.99% NEW
10 Unsigned(TCP/7178) 0.94% NEW

攻撃サービス(ポート)毎のイベントの比較

2020年3月、1ヶ月間収集されたイベントを分析した結果、全体的な件数が多少上昇したが、これはHTTPS(TCP/443), Telnet(TCP/23)ポートの使用増加による影響だと判断される。Telnetはリモートのパソコンを仮想のターミナルを利用してコントロールするため使用するサービスポートで、情報を送信する際、暗号化せず平文送信をするため、攻撃者が間で情報を盗む場合、内容が簡単に確認できる脆弱性が存在する。
そのため、Telnetサービスの代わりに送信情報を暗号化するSSH(TCP/22)サービスを利用することがセキュリティ的に安全だと判断されて、Telnetサービス利用が避けられない場合、ユーザーを指定して使用することを推奨する。
image.png

月次攻撃サービスパターンTOP 10

2020年3月の攻撃パターンTOP10では、Netbios Scan, Multi Packet Inspectionのイベントが多少上昇し、HTTP Login Brute Forceのイベント順位が幅広く下落した。今月TOP10に新たに確認されたAck Stormはセッションハイジャックの攻撃時、サーバ↔クライアントの間のパケットの順位値情報が合わない状態で、両方の情報を確認するためのACKパケットが急増して発生するイベントである。単一IPからのACKパケットの受信に対するしきい値を指定して、当該のしきい値以上のACKパケットの受信は遮断するポリシーが必要である。

順位 パターン 比率(%) 前月比較
1 SMB Service connect(tcp-445) 97.88% -
2 ACK Port Scan(F/W Scan) 0.66% -
3 Multi Packet Inspection 0.32% ▲1
4 ACK Storm 0.31% NEW
5 Dcom_TCP_Sweep (MSBlaster Worm Messenger) 0.30% -
6 HTTP Connection Limit Exhaustion Attack (By Slowloris) 0.22% -
7 Netbios Scan (Messenger RPC Dcom MyDoom)(UDP-137) 0.11% ▲2
8 HTTP Login Brute Force 0.10% ▼2
9 MS WINS Server Registration Spoofing Vuln-1[Req] (UDP-137) 0.06% ▼2
10 HTTP POST Session Exhaustion Attack (By rudy) 0.04% ▼2

攻撃パターン毎のイベント比較

先月と比べて、Multi Packet Inspection, Netbios Scanのイベント順位が上昇したが、実際のイベントの件数は減少したが、全体的なイベントの件数は増加している。その理由は、SMB Service connect(TCP/445)のイベントが2倍以上急増した影響だと判断される。
SMB(TCP/445)ポートWindowsシステムからファイルを共有するために使用されるサービスポートで、多数のランサムウェアから悪用された履歴があり、格別な管理が必要である。セキュリティ担当者はSMBサービスの使用有無に伴うACLポリシー設定が必要であり、周期的なセキュリティアップデートを通じてセキュリティの強化を推奨する。
image.png

攻撃パターン毎の詳細分析結果

03月に発生した攻撃パターンTOP10の詳細分析を紹介する。
詳細分析結果を参考にし、同じ攻撃パターンを検知している場合、当該のシステムの脆弱性を事前に処置することをお勧めする。

攻撃パターン 詳細分析結果
SMB Service Connect(TCP/445) Microsoft Windowsは他のパソコンとファイル及びプリンタの資源を共有するために、SMBプロトコルを使用する。Windowsの古いバージョン(つまり、95, 98, Me, NT)からのSMB共有はTCPポートの137, 139とUDPポート138からNetBIOS over TCP/IPを通じて直接SMB操作が可能であり、推測できるパスワードを使用していたりパスワードが設定されずファイル共有を行う場合、悪意的な攻撃による2次的な攻撃が発生される可能性がある。
ACK Port Scan(F/W Scan) ACK Port Scan(FW Scan)とはファイアウォールのポリシーから不要に許可している脆弱なポートをスキャンする攻撃である。攻撃者は特定のパケットをサーバに送り、その応答のパケットを分析してファイアウォール上で許可されているポートの情報を収集することができる。
Multi Packet Inspection 特定のIPSから発生できるルールで、IPSに設定されている自動パターン学習の防御機能によって検知される。IPSに設定されているサイズ(Bytes)より大きいパケットが同じパターンで繰り返しIPSに送信され、そのパケットがIPSに設定されているPPS以上であれば、指定されている時間の間、アクセスを遮断する。
   ACK Storm    攻撃者が対象サーバに大量のTCP/IPのACKパケットを送信することで、対象サーバに不要なLoadが発生し、正常なサービスを遅延させる攻撃方法で、TCP/IPのプロトコルの穴を利用して攻撃する方法である。当該の攻撃はSessionを結んだPacketにたいしてHijackingをするために使用されることもある。
Dcom TCP_Sweep(MSBlaster Worm Messenger) W32.Blaster.WormワームはDCOM RPC Buffer Overflow脆弱性を利用して感染させるワームの種類で、当該のワームはTCP/135ポートの使用有無を確認し、脆弱性が発見された場合、システムを感染させる。感染したシステムはTCP/4444ポートを有効化し、C&Cサーバから不正ファイルをダウンロードしてレジストリに登録する。このような過程で感染したシステムのトラフィックが増加する。
HTTP Connection Limit Exhaustion Attack(By Slowloris) Slowlorisは既存のDoS攻撃(大量のパケットを送信)とは違ってウェブサーバに異常なHTTP Requestを送信することでTCPの繋がりを維持する攻撃ツールである。攻撃対象のウェブサーバはConnection資源枯渇の状態になり、ユーザーの要請に応答ができなくなるサービスサービス拒否状態になる。
Netbios Scan(Messenger RPC Dcom MyDoom)(UDP/137) NetBiosはUDP137ポートでお互いの情報を確認し、TCP139でセッションを組んだ後、TCP138で情報を交換する。攻撃者はUDP137ポートを利用した攻撃対象のシステムとセッションを組んで、対象のシステムから共有しているディレクトリ及びネットワーク情報をスキャンすることができる。
HTTP Login Brute Force この攻撃はHTTP WEBサービスポート(TCP/80)にアクセスして特定のID(root, guestなど)のパスワードをクラッキングするツールキットを利用する。繰り返し任意の文字列を入れて確認する方法で、パスワードが推測しやすいもしくは、リスト型に登録されている場合、簡単にクラッキングされる。これはアカウントとパスワードは最低限6桁以上で、単純なパターンは使わずに、HTTPポート(TCP/80)に送信されるデータはFilteringして予防できる。
MS WINS Server RegistrationSpoofing Vuln-1[Req](UDP/137) 当該の攻撃はWindows WINSサーバにネームが登録される過程の中でNetBIOS通信を適切に検証しない場合発生する脆弱性である。脆弱性を利用して攻撃者はウェブプロキシのスプーフィングを行い、意図したアドレスにインターネットトラフィックがリダイレクトできる。
HTTP POST Session Exhaustion Attack(By rudy) R.U.D.Yは「R-U-Dead-Yet」の略称で、HTTPのPOST Methodを利用したConnection資源枯渇サービス拒否攻撃(Denial of Service)ツールである。不完全なHTTPヘッダと分割されているデータを利用し、正常に終了されないConnectionを大量に発生させて、対象のConnction資源を枯渇させる。

まとめ

2020年3月の月次攻撃の動向について紹介しました。
今月も「SMB Service connect」パターンが高い割合を占めています。また、「Ack Storm」新しいパータンも確認されています。
「Ack Storm」はTCP/IPのプロトコルの穴を利用した攻撃であり、DoS攻撃や、Hijackingの攻撃にも使用されるため、ACKパケットに対するしきい値を設定し、しきい値以上のACKパケットを受信した場合、遮断するポリシー設定が必要であると思っています。
株式会社サイバーフォートレスは引き続き情報を収集し、分析の結果を発表しようと思っています。

記事まとめ

2020年02月12日 - :sunny:[月次配信] 月次攻撃サービスの統計及び分析 - 2020年1月
2020年03月12日 - :sunny:[月次配信] 月次攻撃サービスの統計及び分析 - 2020年2月

CyberFortress
ITは企業活動になくてはならないものとなっています。それと共に企業規模に関わらず、そのITを利用したサイバー攻撃も急増しています。 そこで我々はセキュリティ分野にも力を入れ、お客様の情報資産を守り、システム運用をより強固なものとする為、日々取り組んでおります。
https://www.cyberfortress.jp
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした