はじめに
株式会社サイバーフォートレスでは毎月、攻撃サービス(ポート)情報を収集し、分析しています。
毎月の分析内容から、サイバーセキュリティの 10大脅威2020 として、今年の1月~6月までの攻撃サービス(ポート)、攻撃サービスパターンのTOP10を確認してみました。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバーセキュリティ脅威の予測、対策に役立てていただければと思います。
上半期(1月~6月)攻撃サービス(ポート)TOP 10
1月から3月まではHTTP(TCP/80)を利用したイベントが多く発生していたが、4月から6月にかけて多く発生したHTTPS(TCP/443)が上回る結果とになった。
また、ICMP(0/ICMP), SNMP(UDP/161), Telnet(TCP/23), Unsigned(TCP/7178)ポートを利用したイベントが増加傾向にあることもわかった。ICMPイベントはSniffing, ICMP Redirection, Spoofing攻撃に利用される可能性が高いプロトコルで、なるべくセキュリティ機器のICMP設定は無効化し、reply/request packetを介して情報が漏出されないように管理するのを推奨する。
| Rank | Service(Port) |
| 1 | HTTPS(TCP/443) |
| 2 | HTTP(TCP/80) |
| 3 | DNS(UDP/53) |
| 4 | Microsoft-DS(TCP/445) |
| 5 | ICMP(0/ICMP) |
| 6 | SNMP(UDP/161) |
| 7 | Telnet(TCP/23) |
| 8 | Unsigned(TCP/9900) |
| 9 | Unsigned(TCP/7178) |
| 10 | MSSQL(TCP/1433) |
上半期(1月~6月)攻撃サービスパターンTOP 10
SMB Service connect(tcp-445)は非常に多く検知されている攻撃パターンでSMB及びNetbiosサービスポートに対して持続的なアクセス制御が必要である。
また、Scan、Bute Forceのようなスキャニングイベントがランキングに多く発生している為、アクセスができる未使用ポートの把握及び各種機器及びサーバのパスワードの複雑性検証なでのセキュリティ処置を推奨する。
| Rank | Service |
| 1 | SMB Service connect(tcp-445) |
| 2 | ACK Port Scan(F/W Scan) |
| 3 | Ack Storm |
| 4 | Multi Packet Inspection |
| 5 | HTTP Login Brute Force |
| 6 | Dcom_TCP_Sweep(MSBlaster Worm Messenger) |
| 7 | HTTP Connection Limit Exhaustion Attack(By Slowloris) |
| 8 | Netbios Scan (Messenger RPC Dcom MyDoom) (UDP-137) |
| 9 | MS WINS Server Registration Spoofing Vuln-1 [Req](UDP-137) |
| 10 | HTTP POST Session Exhaustion Attack(By rudy) |
攻撃パターン毎の詳細分析結果
2020年1月から6月までの間で発生した攻撃パターンTOP10の詳細分析を紹介する。
詳細分析結果を参考にし、同じ攻撃パターンを検知している場合、当該のシステムの脆弱性を事前に処置することをお勧めする。
| 攻撃パターン | 詳細分析結果 |
| SMB Service Connect(TCP/445) | Microsoft Windowsは他のパソコンとファイル及びプリンタの資源を共有するために、SMBプロトコルを使用する。Windowsの古いバージョン(つまり、95, 98, Me, NT)からのSMB共有はTCPポートの137, 139とUDPポート138からNetBIOS over TCP/IPを通じて直接SMB操作が可能であり、推測できるパスワードを使用していたりパスワードが設定されずファイル共有を行う場合、悪意的な攻撃による2次的な攻撃が発生される可能性がある。 |
| ACK Port Scan(F/W Scan) | ACK Port Scan(FW Scan)とはファイアウォールのポリシーから不要に許可している脆弱なポートをスキャンする攻撃である。攻撃者は特定のパケットをサーバに送り、その応答のパケットを分析してファイアウォール上で許可されているポートの情報を収集することができる。 |
| ACK Storm | 攻撃者が対象サーバに大量のTCP/IPのACKパケットを送信することで、対象サーバに不要なLoadが発生し、正常なサービスを遅延させる攻撃方法で、TCP/IPのプロトコルの穴を利用して攻撃する方法である。当該の攻撃はSessionを結んだPacketにたいしてHijackingをするために使用されることもある。 |
| Multi Packet Inspection | 特定のIPSから発生できるルールで、IPSに設定されている自動パターン学習の防御機能によって検知される。IPSに設定されているサイズ(Bytes)より大きいパケットが同じパターンで繰り返しIPSに送信され、そのパケットがIPSに設定されているPPS以上であれば、指定されている時間の間、アクセスを遮断する。 |
| HTTP Login Brute Force | この攻撃はHTTP WEBサービスポート(TCP/80)にアクセスして特定のID(root, guestなど)のパスワードをクラッキングするツールキットを利用する。繰り返し任意の文字列を入れて確認する方法で、パスワードが推測しやすいもしくは、リスト型に登録されている場合、簡単にクラッキングされる。これはアカウントとパスワードは最低限6桁以上で、単純なパターンは使わずに、HTTPポート(TCP/80)に送信されるデータはFilteringして予防できる。 |
| Dcom TCP_Sweep(MSBlaster Worm Messenger) | W32.Blaster.WormワームはDCOM RPC Buffer Overflow脆弱性を利用して感染させるワームの種類で、当該のワームはTCP/135ポートの使用有無を確認し、脆弱性が発見された場合、システムを感染させる。感染したシステムはTCP/4444ポートを有効化し、C&Cサーバから不正ファイルをダウンロードしてレジストリに登録する。このような過程で感染したシステムのトラフィックが増加する。 |
| HTTP Connection Limit Exhaustion Attack(By Slowloris) | Slowlorisは既存のDoS攻撃(大量のパケットを送信)とは違ってウェブサーバに異常なHTTP Requestを送信することでTCPの繋がりを維持する攻撃ツールである。攻撃対象のウェブサーバはConnection資源枯渇の状態になり、ユーザーの要請に応答ができなくなるサービスサービス拒否状態になる。 |
| Netbios Scan(Messenger RPC Dcom MyDoom)(UDP/137) | NetBiosはUDP137ポートでお互いの情報を確認し、TCP139でセッションを組んだ後、TCP138で情報を交換する。攻撃者はUDP137ポートを利用した攻撃対象のシステムとセッションを組んで、対象のシステムから共有しているディレクトリ及びネットワーク情報をスキャンすることができる。 |
| MS WINS Server Registration Spoofing Vuln-1 [Req](UDP-137) | 当該の攻撃はWindows WINSサーバにネームが登録される過程の中でNetBIOS通信を適切に検証しない場合発生する脆弱性である。脆弱性を利用して攻撃者はウェブプロキシのスプーフィングを行い、意図したアドレスにインターネットトラフィックがリダイレクトできる。 |
| HTTP POST Session Exhaustion Attack(By rudy) | R.U.D.Yは「R-U-Dead-Yet」の略称で、HTTPのPOST Methodを利用したConnection資源枯渇サービス拒否攻撃(Denial of Service)ツールである。不完全なHTTPヘッダと分割されているデータを利用し、正常に終了されないConnectionを大量に発生させて、対象のConnction資源を枯渇させる。 |
まとめ
2020年1月から6月にまでの半年に発生した攻撃の動向について紹介しました。
「SMB Service connect」サービスでの攻撃イベントは著しく多く、スキャニング試しについては継続的に発生しており常に攻撃できる場所を伺っているのだと考えられます。
又、「MSSQL(TCP/1433)」ポートのイベントが新たに確認されたこともあり、使用していないサービスやポートのチェックを推奨します。
株式会社サイバーフォートレスでは情報を収集し、毎月、攻撃統計情報を資料として公開しています。
月次の統計情報は下記リンクの攻撃傾向分析(月次統計情報)「詳しく見る」をクリックし、氏名、メールアドレスを入力いただくだけで、ダウンロードが可能です。
是非ご活用ください。
<レポートダウンロード>ページ
https://www.cyberfortress.jp/securityreport_dl/
攻撃傾向分析(月次統計情報)「詳しく見る」を
クリック
[blogcard url=” https://www.cyberfortress.jp/contact/ “]
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
