ハニーポット観測：C2フレームワークを標的とするHTTPリクエストの観測状況

はじめに

三菱電機の山元です。

C2(Command & Control)フレームワークは、セキュリティの専門家がシステムや機器に対して模擬的なサイバー攻撃演習を実施する際に、機器を遠隔操作・管理する目的で利用されます。
C2フレームワークは、主に遠隔操作のためのコマンドを送信するサーバと、標的のシステムや機器に潜伏させ、サーバからの指示を受けて動作するエージェント(フレームワークによって「ビーコン」など、呼び方が異なる場合もある)から構成されます。
遠隔操作の機能は攻撃者にとっても魅力的であり、クラッキングした機器にエージェントをインストールし、攻撃者のサーバから機器を遠隔操作する目的で使用されることがあります。
このような攻撃を実行する際には、攻撃者はインターネット上のグローバルIPアドレスに向けて、標的となる機器を探索する目的のHTTPリクエストを送信する場合があります。
このHTTPリクエストを観測・分析することで、攻撃者の活動を推測することが可能です。

三菱電機 情報技術総合研究所で運用しているハニーポットでは、24年度にC2フレームワークのエージェントがインストールされた機器や、機器に指示を出すサーバを探索するHTTPリクエストを観測しました。
今回はC2フレームワークがインストールされた機器やサーバが探索されている状況について、観測例を用いてご紹介いたします。

C2フレームワークの探索活動の観測

Cobalt Strikeのビーコンを探索するHTTPリクエストの観測

Cobalt Strikeの悪用事例と現況

Cobalt Strikeは代表的なC2フレームワークです。
本ツールは商用ツールですが、逆コンパイルされたソースコードが出回ったことで、攻撃用ツールとして攻撃者に利用されている状況です。
一例として、2020年に起きたSolarWinds社製のIT管理ソフトウェアに対するサプライチェーン攻撃(SUNBURST)¹で悪用されたことがあります。
また、2019年に流行したマルウェアであるEmotetについて、2021年12月頃よりCobalt Strikeのビーコンを埋め込むタイプの出現が報告²されています。
このような状況であるため、Cobalt Strikeのビーコンが埋め込まれた状態でインターネット上に公開された機器が存在します。
インターネットに接続された機器の情報検索エンジンであるShodan³で検索すると、Cobalt Strikeのビーコンが埋め込まれていると見られる機器を421件発見できました(2025/05/13現在)。
一例として、Shodanでは下図のようにCobalt Strikeのビーコンが埋め込まれた機器を確認できます(画像内の情報は一部モザイク処理しています)。

弊社における観測状況

Cobalt Strikeでは、"/aab8"や"/aaa9"といった、ビーコンの探索に使用可能なURIが用意されています⁴。
今回、弊社のハニーポットで観測した"/aab8"や"/aaa9"をURIに指定したHTTPリクエストを抽出したところ、1年を通して継続的な探索活動が実施されていると判明しました。
下記のグラフに2024/05/01から2025/04/30までの弊社ハニーポットによるHTTPリクエストの観測状況を示します。
グラフの縦軸は1ヶ月毎の観測したHTTPリクエスト数、横軸は月単位の時間を表します。

Covenantのサーバを探索するHTTPリクエストの観測

Covenantはオープンソースで提供されているC2フレームワークです。
今回はCovenantで使用するサーバを標的とするHTTPリクエストを観測しました。
観測したHTTPリクエストの内容を下表に示します。

HTTPメソッド	URI	ポート番号
GET	/covenantuser/login	複数(7443、6669など)

"/covenantuser/login"は、Covenantサーバのログイン用Web UIを示すURIと見られます。
また、7443のポート番号は、Covenantサーバのログインページのデフォルトポート番号です。
攻撃者は本HTTPリクエストにより、Covenantサーバを探索していると推測しています。
本HTTPリクエストは2025/1/27まで弊社のハニーポットでは観測例がなく、最近になって攻撃者の標的となったと見られます。
攻撃者の目的は不明確ですが、 他者のサーバの乗っ取りや、他者がエージェントを埋め込んで管理する機器への不正な操作を目的にしていると推測しています。
他者のサーバの乗っ取りについては、攻撃者が自前でサーバを用意する必要がなくなるため、攻撃のコスト削減や攻撃者の匿名性の保護といったメリットがあると考えています。

次に、2025/01/19～2025/03/09までの本HTTPリクエストの観測状況のグラフを示します。
縦軸は1週間の観測したHTTPリクエスト数、横軸は週単位の時間を表します。

おわりに

今回はC2フレームワークを標的とするHTTPリクエストの観測例をご紹介しました。
自身でC2フレームワークを利用していない場合でも、脆弱性の悪用などにより、C2フレームワークのエージェントを機器にインストールされる可能性があります。
C2フレームワークへの対策に限りませんが、マルウェア対策ソフトの導入や不要なサービス及びポートの動作の監視による対処など、対策が必要です。
また、昨今の情勢より、セキュリティ対応において、模擬的なサイバー攻撃によるテストの機会が増えると考えています。
模擬的なサイバー攻撃演習の実施中は、インターネット経由の通信など不要な通信を遮断することが必要です。
また、演習の実施後には、機器・サーバにインストールしたC2フレームワークをアンインストールし、システム上に残さないなどの管理が重要です。

弊社では今後もQiitaを通じて、継続的にハニーポットを用いた攻撃パケットの観測・分析結果をご報告します。

1. https://www.security.com/japanese/sunburst-safuraichiengongjikasolarwindsyusawobiaodeni ↩

2. https://unit42.paloaltonetworks.com/ja/emotet-malware-summary-epoch-4-5/ ↩

3. https://www.shodan.io/ ↩

4. https://github.com/Te-k/cobaltstrike/blob/master/README.md ↩