#はじめに
株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。
#月次攻撃サービス(ポート)TOP 10
2020年5月の1ヶ月間収取されたサービスポートTOP10では、Unsigned(TCP/9900)ポートを利用したイベントが先月と比べて上昇し、SNMP(UDP/161), Telnet(TCP/23), MSSQL(TCP/1433), Unsigned(TCP/7178)は先月と比べて減っている。
| 順位 | サービス(ポート) | 比率(%) | 前月比較 |
|---|---|---|---|
| 1 | HTTPS(TCP/443) | 36.78% | - |
| 2 | DNS(UDP/53) | 32.73% | - |
| 3 | Microsoft-DS(TCP/445) | 8.82% | - |
| 4 | HTTP(TCP/80) | 6.77% | - |
| 5 | Unsigned(TCP/9900) | 5.32% | ▲5 |
| 6 | ICMP(ICMP/0) | 3.01% | - |
| 7 | SNMP(UDP/161) | 3.00% | ▼2 |
| 8 | Telnet(TCP/23) | 1.39% | ▼1 |
| 9 | MS-SQL(TCP/1433) | 1.27% | ▼1 |
| 10 | Unsigned(TCP/7178) | 0.92% | ▼1 |
#攻撃サービス(ポート)毎のイベントの比較
2020年5月、1ヶ月間収集されたイベントを分析した結果、全体的な件数が減少し、HTTPS(TCP/443)ポートの使用減少による影響だと判断される。その他、Unsigned(TCP/9900)件数が先月と比べて477%上昇し、攻撃者が知られていないポートを特定のサービスのポートとして使用し攻撃を行うこともあり、また、認識していないサービスの脆弱性を狙う攻撃者のスキャニング試しでトラフィックが発生しうる。従って、外部に漏出されたサービスの場合、周期的な使用有無チェックを通じてオープンされたPortを確認し、これを制限するポリシー設定などを推奨する。
#月次攻撃サービスパターンTOP 10
2020年5月の攻撃パターンTOP10では、Ack Port Scan(F/W Scan), HTTP Login Brute Forceのイベント順位が多少上昇し、Ack Storm, Multi Packet Inspectionイベント順位が下落した、その他、TLS Malformed Handshake DoS, DNS BIND version request , HEAD / HTTP(Http server vuffer overflow)イベントが新たに登場した。
| 順位 | パターン | 比率(%) | 前月比較 |
|---|---|---|---|
| 1 | SMB Service connect(tcp-445) | 97.67% | - |
| 2 | ACK Port Scan(F/W Scan) | 0.64% | ▲1 |
| 3 | Ack Storm | 0.63% | ▼1 |
| 4 | HTTP Login Brute Force | 0.29% | ▲2 |
| 5 | Dcom_TCP_Sweep (MSBlaster Worm Messenger) | 0.28% | - |
| 6 | Multi Packet Inspection | 0.27% | ▼2 |
| 7 | Netbios Scan (Messenger RPC Dcom MyDoom)(UDP-137) | 0.13% | - |
| 8 | TLS Malformed Handshake DoS | 0.06% | NEW |
| 9 | DNS BIND version request | 0.02% | NEW |
| 10 | HEAD / HTTP(Http server buffer overflow) | 0.02% | NEW |
#攻撃パターン毎のイベント比較
先月と同じくSMBサービスを探すためのスキャニング試しが持続的に発生しており、SMB及びNetbiosサービスポートに対して持続的なアクセス制御管理が必要である。スキャニングイベントがTOP10の中に多数含まれていて、新しく順位の中で確認されたDNS BIND version request, HEAD / HTTP (http server buffer overflow)イベントもスキャニングと関連があり、HEDメソッドに対してセキュリティ対処及びBINDのバージョンが漏出されないようにnamed.confの設定変更を推奨する。
#攻撃パターン毎の詳細分析結果
04月に発生した攻撃パターンTOP10の詳細分析を紹介する。
詳細分析結果を参考にし、同じ攻撃パターンを検知している場合、当該のシステムの脆弱性を事前に処置することをお勧めする。
| 攻撃パターン | 詳細分析結果 |
|---|---|
| SMB Service Connect(TCP/445) | Microsoft Windowsは他のパソコンとファイル及びプリンタの資源を共有するために、SMBプロトコルを使用する。Windowsの古いバージョン(つまり、95, 98, Me, NT)からのSMB共有はTCPポートの137, 139とUDPポート138からNetBIOS over TCP/IPを通じて直接SMB操作が可能であり、推測できるパスワードを使用していたりパスワードが設定されずファイル共有を行う場合、悪意的な攻撃による2次的な攻撃が発生される可能性がある。 |
| ACK Port Scan(F/W Scan) | ACK Port Scan(FW Scan)とはファイアウォールのポリシーから不要に許可している脆弱なポートをスキャンする攻撃である。攻撃者は特定のパケットをサーバに送り、その応答のパケットを分析してファイアウォール上で許可されているポートの情報を収集することができる。 |
| ACK Storm | 攻撃者が対象サーバに大量のTCP/IPのACKパケットを送信することで、対象サーバに不要なLoadが発生し、正常なサービスを遅延させる攻撃方法で、TCP/IPのプロトコルの穴を利用して攻撃する方法である。当該の攻撃はSessionを結んだPacketにたいしてHijackingをするために使用されることもある。 |
| HTTP Login Brute Force | この攻撃はHTTP WEBサービスポート(TCP/80)にアクセスして特定のID(root, guestなど)のパスワードをクラッキングするツールキットを利用する。繰り返し任意の文字列を入れて確認する方法で、パスワードが推測しやすいもしくは、リスト型に登録されている場合、簡単にクラッキングされる。これはアカウントとパスワードは最低限6桁以上で、単純なパターンは使わずに、HTTPポート(TCP/80)に送信されるデータはFilteringして予防できる。 |
| Dcom TCP_Sweep(MSBlaster Worm Messenger) | W32.Blaster.WormワームはDCOM RPC Buffer Overflow脆弱性を利用して感染させるワームの種類で、当該のワームはTCP/135ポートの使用有無を確認し、脆弱性が発見された場合、システムを感染させる。感染したシステムはTCP/4444ポートを有効化し、C&Cサーバから不正ファイルをダウンロードしてレジストリに登録する。このような過程で感染したシステムのトラフィックが増加する。 |
| Multi Packet Inspection | 特定のIPSから発生できるルールで、IPSに設定されている自動パターン学習の防御機能によって検知される。IPSに設定されているサイズ(Bytes)より大きいパケットが同じパターンで繰り返しIPSに送信され、そのパケットがIPSに設定されているPPS以上であれば、指定されている時間の間、アクセスを遮断する。 |
| Netbios Scan(Messenger RPC Dcom MyDoom)(UDP/137) | NetBiosはUDP137ポートでお互いの情報を確認し、TCP139でセッションを組んだ後、TCP138で情報を交換する。攻撃者はUDP137ポートを利用した攻撃対象のシステムとセッションを組んで、対象のシステムから共有しているディレクトリ及びネットワーク情報をスキャンすることができる。 |
| TLS Malformed Handshake DoS | TLS Malformed Handshake DoS攻撃は不正的に変造されたTLSパケットを利用したDOS攻撃の種類です、不正的に変造されたTLS ClientがHandshakeをする過程で発生する。リモートの攻撃者が不正TLSのパケットに影響されるシステムに送ることで負荷を発生させる。 |
| DNS BIND version request | DNS BIND version request攻撃は悪意を持っているユーザーがDNSサーバのプログラムであるBINDのバージョンを確認するための情報収集型攻撃である。 |
| HEAD / HTTP (Http server buffer overflow) | HTTP GET要請と似たようなHEAD要請は一般的にスキャナーを利用したり、悪意を持っているユーザーが情報収集の目的で使用する。 |
#まとめ
2020年5月の月次攻撃の動向について紹介しました。
今月はスキャニングの順位が上昇し、新しいスキャニング攻撃が順位の中に登場しました。スキャニング攻撃は情報を収集する目的で使用する攻撃で、被害な少なさそうに見えますが、深刻な攻撃に繋がる踏み台になれる可能性が高いので適切なポリシー設定で防ぐ必要があると思います。
株式会社サイバーフォートレスは引き続き情報を収集し、分析の結果を発表しようと思っています。
##記事まとめ
2020年02月12日 - 
[月次配信] 月次攻撃サービスの統計及び分析 - 2020年1月
2020年03月12日 - [月次配信] 月次攻撃サービスの統計及び分析 - 2020年2月
2020年04月08日 - [月次配信] 月次攻撃サービスの統計及び分析 - 2020年3月
2020年05月07日 - [月次配信] 月次攻撃サービスの統計及び分析 - 2020年4月