www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(44)「HTTP リクエストで DNS の設定変更をさせる攻撃」

どうも。ハニーポッターの森久です。

みなさんはチョコレートはお好きですか? 僕は好きです。
贈り物は、相手のことを推し量って渡すのですから、大抵いただく側からすると嬉しいものです。
しかし中には嬉しくない贈り物もあります。たとえばサイバー攻撃のペイロードとかね。

WOWHoneypot では、日々多くの贈り物が届いています。今回はその中でも珍しい DNS の設定変更をさせる攻撃について紹介します。

 

攻撃ログ

※一部の情報を意図的に伏せています。

 

GET リクエストで dnscfg.cgi ファイルにアクセスしてきています。このファイルは、Shuttle  社のモデム(ADSL Modem-Router 915 WM)の Web 管理インタフェースの一部で、DNS の設定変更をするために使われます。特にブラジルで多く使われているみたいです。

クエリパラメータを見ると、dnsPrimary パラメータに「192.95.1.54」という IP アドレスが設定されています。
続いて、dnsSecondary8.8.8.8 は、おそらく攻撃者がタイポした可能性があるのですが、本来は dnsSecondary パラメータに 8.8.8.8 の Google Public DNS の IP アドレスを指定したものと考えます。
この2つのパラメータを含んだリクエストによって、DNS の設定を変更することが可能です。
つまり今回の攻撃を受けてしまうと、攻撃者によってモデムの IP アドレスが勝手に変更される影響があります。

管理画面へアクセスする際のユーザ認証がないため、権限を持たない第三者が自由に設定変更できてしまうわけですね。
もしも DNS の参照先が変わってしまった場合、ドメイン名の名前解決時に攻撃者によって不正な IP アドレスに誘導されてしまう恐れがあります。その結果、フィッシングサイトへ誘導されて、個人情報やクレジットカード情報、ログインアカウント・パスワードなどの情報を窃取されてしまうかもしれません。

また User-Agent が curl のため、コマンドラインから機械的に攻撃している可能性があります。私の環境では、複数のハニーポットで攻撃を検知していました。

 

誘導先の IP アドレスを調査

さてここで気になるのは、誘導される IP アドレスの素性ですよね。
whois 情報を見ると、ブラジルに割り当てられていることがわかります(下図の赤下線)。攻撃対象のモデムがブラジルで多く使われていることから、攻撃者は地理的に近い場所に DNS サーバを用意したのかもしれません。

誘導先 IP アドレスの whois 情報

せっかくなので、この IP アドレスの危険性についても調べてみます。手っ取り早く確認するために、MxToolbox を使ってブラックリストの登録状況を見てみましょう。

ブラックリストの照合結果

https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a192.95.1.54&run=toolpage

全部で94個あるブラックリストのうち、DRONE BL というブラックリストに載っていることがわかりました。
詳細情報を見ると、今回の攻撃以外にも悪用されている IP アドレスのようです。アクセスはしない方がいいでしょう。

 

まとめ

今回は、Shuttle  社のモデム(ADSL Modem-Router 915 WM)の Web 管理インタフェースに対する DNS 設定を変更する攻撃について紹介しました。
攻撃の影響を受けた場合、攻撃者が指定した DNS サーバの情報がモデムに保存されてしまいます。その結果、フィッシングサイトに誘導される恐れがあります。
日本で使っている人は少ない機種だと思いますが、心当たりのある方は DNS の設定状況をご確認ください。

なお上記の攻撃ログは、2月14日に検知していた模様。バレンタインのプレゼントかな?
ハニーポッターだけでなく、Web サーバ管理者の方もアクセスログを確認してみてください。同様の攻撃ログが記録されているかもしれません。

 

参考情報

The Tale of One Thousand and One DSL Modems(SECURELIST)
https://securelist.com/the-tale-of-one-thousand-and-one-dsl-modems/57776/


告知

第3回 ハニーポッター技術交流会を開催します。
大変ありがたいことに、一般参加枠はキャンセル待ちの状態です。
しかしながら、ハニーポットを運用中の方や、運用経験をお持ちの方のためのハニーポッター枠は現時点(2月16日)では空きがあります。

LT 発表枠も空きがあるので、発表者募集中です。

なお LT 発表申込後は、メール(morihisa.sec(@)gmail.com)でもツイッター(@morihi_soc)でも何でもいいので、私まで発表タイトルと発表時間(15-30分以内)をご連絡ください。

 

勉強会詳細

開催日時:2018年2月24日(土) 午前10:00-12:00 (受付は9:40から)
開催場所:東京都中央区日本橋兜町12-7 兜町第3ビル NATULUCK茅場町新館 2階大会議室
募集ページ:第3回 ハニーポッター技術交流会 https://hanipo-tech.connpass.com/event/78002/

Written by 森久

2月 16th, 2018 at 7:00 am