[月次配信] 月次攻撃サービスの統計及び分析 – 2020年3月

はじめに

株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。

月次攻撃サービス(ポート)TOP 10

2020年3月の一か月間収取されたサービスポートTOP10では、IUA(TCP/9900), Unsigned(TCP/7178)ポートを利用したイベントが新しく確認できた、その他、HTTPS(TCP/443), DNS(TCP/53)を利用したイベントの順位が上昇し、DNS(UDP/53), Microsoft-DS(TCP/445)の順位は下落した。IUA(TCP/9900)ポートは内部のサーバ間の通信使使用されるサービスポートで、ファイアウォールから明確なユーザーオブジェクトを指定して使う必要がある。

順位サービス(ポート)比率(%)前月比較
1HTTP(TCP/80)38.60%
2HTTPS(TCP/443)19.40%▲2
3DNS(UDP/53)17.85%▼1
4Microsoft-DS(TCP/445)12.36%▼1
5ICMP(0/ICMP)3.54%
6SNMP(UDP/161)3.27%
7Telnet(TCP/23)1.92%
8DNS(TCP/53)1.12%▲1
9IUA(TCP/9900)0.99%NEW
10Unsigned(TCP/7178)0.94%NEW

攻撃サービス(ポート)毎のイベントの比較

image.png

2020年3月、1ヶ月間収集されたイベントを分析した結果、全体的な件数が多少上昇したが、これはHTTPS(TCP/443), Telnet(TCP/23)ポートの使用増加による影響だと判断される。Telnetはリモートのパソコンを仮想のターミナルを利用してコントロールするため使用するサービスポートで、情報を送信する際、暗号化せず平文送信をするため、攻撃者が間で情報を盗む場合、内容が簡単に確認できる脆弱性が存在する。
そのため、Telnetサービスの代わりに送信情報を暗号化するSSH(TCP/22)サービスを利用することがセキュリティ的に安全だと判断されて、Telnetサービス利用が避けられない場合、ユーザーを指定して使用することを推奨する。

月次攻撃サービスパターンTOP 10

2020年3月の攻撃パターンTOP10では、Netbios Scan, Multi Packet Inspectionのイベントが多少上昇し、HTTP Login Brute Forceのイベント順位が幅広く下落した。今月TOP10に新たに確認されたAck Stormはセッションハイジャックの攻撃時、サーバ↔クライアントの間のパケットの順位値情報が合わない状態で、両方の情報を確認するためのACKパケットが急増して発生するイベントである。単一IPからのACKパケットの受信に対するしきい値を指定して、当該のしきい値以上のACKパケットの受信は遮断するポリシーが必要である。

順位パターン比率(%)前月比較
1SMB Service connect(tcp-445)97.88%
2ACK Port Scan(F/W Scan)0.66%
3Multi Packet Inspection0.32%▲1
4ACK Storm0.31%NEW
5Dcom_TCP_Sweep (MSBlaster Worm Messenger)0.30%
6HTTP Connection Limit Exhaustion Attack (By Slowloris)0.22%
7Netbios Scan (Messenger RPC Dcom MyDoom)(UDP-137)0.11%▲2
8HTTP Login Brute Force0.10%▼2
9MS WINS Server Registration Spoofing Vuln-1[Req] (UDP-137)0.06%▼2
10HTTP POST Session Exhaustion Attack (By rudy)0.04%▼2

攻撃パターン毎のイベント比較

image.png

先月と比べて、Multi Packet Inspection, Netbios Scanのイベント順位が上昇したが、実際のイベントの件数は減少したが、全体的なイベントの件数は増加している。その理由は、SMB Service connect(TCP/445)のイベントが2倍以上急増した影響だと判断される。
SMB(TCP/445)ポートWindowsシステムからファイルを共有するために使用されるサービスポートで、多数のランサムウェアから悪用された履歴があり、格別な管理が必要である。セキュリティ担当者はSMBサービスの使用有無に伴うACLポリシー設定が必要であり、周期的なセキュリティアップデートを通じてセキュリティの強化を推奨する。

攻撃パターン毎の詳細分析結果

02月に発生した攻撃パターンTOP10の詳細分析を紹介する。
詳細分析結果を参考にし、同じ攻撃パターンを検知している場合、当該のシステムの脆弱性を事前に処置することをお勧めする。

攻撃パターン詳細分析結果
SMB Service Connect(TCP/445)Microsoft Windowsは他のパソコンとファイル及びプリンタの資源を共有するために、SMBプロトコルを使用する。Windowsの古いバージョン(つまり、95, 98, Me, NT)からのSMB共有はTCPポートの137, 139とUDPポート138からNetBIOS over TCP/IPを通じて直接SMB操作が可能であり、推測できるパスワードを使用していたりパスワードが設定されずファイル共有を行う場合、悪意的な攻撃による2次的な攻撃が発生される可能性がある。
ACK Port Scan(F/W Scan)ACK Port Scan(FW Scan)とはファイアウォールのポリシーから不要に許可している脆弱なポートをスキャンする攻撃である。攻撃者は特定のパケットをサーバに送り、その応答のパケットを分析してファイアウォール上で許可されているポートの情報を収集することができる。
Multi Packet Inspection特定のIPSから発生できるルールで、IPSに設定されている自動パターン学習の防御機能によって検知される。IPSに設定されているサイズ(Bytes)より大きいパケットが同じパターンで繰り返しIPSに送信され、そのパケットがIPSに設定されているPPS以上であれば、指定されている時間の間、アクセスを遮断する。
ACK Storm攻撃者が対象サーバに大量のTCP/IPのACKパケットを送信することで、対象サーバに不要なLoadが発生し、正常なサービスが遅延される攻撃方法で、TCP/IPのプロトコルの穴を利用して攻撃する方法である。当該の攻撃はSessionを結んだPacketにたいしてHijackingをするために使用されることもある。
Dcom TCP_Sweep(MSBlaster Worm Messenger)W32.Blaster.WormワームはDCOM RPC Buffer Overflow脆弱性を利用して感染させるワームの種類で、当該のワームはTCP/135ポートの使用有無を確認し、脆弱性が発見された場合、システムを感染させる。感染したシステムはTCP/4444ポートを有効化し、C&Cサーバから不正ファイルをダウンロードしてレジストリに登録する。このような過程で感染したシステムのトラフィックが増加する。
HTTP Connection Limit Exhaustion Attack(By Slowloris)Slowlorisは既存のDoS攻撃(大量のパケットを送信)とは違ってウェブサーバに異常なHTTP Requestを送信することでTCPの繋がりを維持する攻撃ツールである。攻撃対象のウェブサーバはConnection資源枯渇の状態になり、ユーザーの要請に応答ができなくなるサービスサービス拒否状態になる。
Netbios Scan(Messenger RPC Dcom MyDoom)(UDP/137)NetBiosはUDP137ポートでお互いの情報を確認し、TCP139でセッションを組んだ後、TCP138で情報を交換する。攻撃者はUDP137ポートを利用した攻撃対象のシステムとセッションを組んで、対象のシステムから共有しているディレクトリ及びネットワーク情報をスキャンすることができる。
HTTP Login Brute Forceこの攻撃はHTTP WEBサービスポート(TCP/80)にアクセスして特定のID(root, guestなど)のパスワードをクラッキングするツールキットを利用する。繰り返し任意の文字列を入れて確認する方法で、パスワードが推測しやすいもしくは、リスト型に登録されている場合、簡単にクラッキングされる。これはアカウントとパスワードは最低限6桁以上で、単純なパターンは使わずに、HTTPポート(TCP/80)に送信されるデータはFilteringして予防できる。
MS WINS Server RegistrationSpoofing Vuln-1[Req](UDP/137)当該の攻撃はWindows WINSサーバにネームが登録される過程の中でNetBIOS通信を適切に検証しない場合発生する脆弱性である。脆弱性を利用して攻撃者はウェブプロキシのスプーフィングを行い、意図したアドレスにインターネットトラフィックがリダイレクトできる。
HTTP POST Session Exhaustion Attack(By rudy)R.U.D.Yは「R-U-Dead-Yet」の略称で、HTTPのPOST Methodを利用したConnection資源枯渇サービス拒否攻撃(Denial of Service)ツールである。不完全なHTTPヘッダと分割されているデータを利用し、正常に終了されないConnectionを大量に発生させて、対象のConnction資源を枯渇させる。

まとめ

2020年3月の月次攻撃の動向について紹介しました。
今月も「SMB Service connect」パターンが高い割合を占めています。また、「Ack Storm」新しいパータンも確認されています。
「Ack Storm」はTCP/IPのプロトコルの穴を利用した攻撃であり、DoS攻撃や、Hijackingの攻撃にも使用されるため、ACKパケットに対するしきい値を設定し、しきい値以上のACKパケットを受信した場合、遮断するポリシー設定が必要であると思っています。
株式会社サイバーフォートレスは引き続き情報を収集し、分析の結果を発表しようと思っています。

記事まとめ

2020年02月12日 – :sunny:[月次配信] 月次攻撃サービスの統計及び分析 – 2020年1月
2020年03月12日 – :sunny:[月次配信] 月次攻撃サービスの統計及び分析 – 2020年2月

Share:

More Posts

Copyright 2020 © CYBERFORTRESS, INC. All rights Reserved.
Scroll Up