www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

Apache Magica で攻撃してくる人たちをティロ・フィナーレしたい

ハニーポット観察記録の番外編です.

2013年11月1日に CGI で動作する PHP の脆弱性(CVE-2012-1823)を狙った攻撃をハニーポットで検知し,ハニーポット観察記録(12)の記事で紹介しました.この脆弱性を狙った攻撃は PoC ソースコードのコメントより,Apache Magica と呼ばれています.

 

ハニーポットでの初回の検知は11月1日で,その後も攻撃は継続していました.ただ継続はしているもののそれほど検知件数としては多くなかったのですが,12月16日より異常にたくさんの攻撃が来るようになりました.

この脆弱性自体が去年に公開されたもののため既に PHP のバージョンアップをしていたり,WAF や IPS 等で対策していれば攻撃の影響は受けないと考えられます.しかし対策漏れの Web サーバが1台でもあると攻撃の影響を受け,魔女化不正にファイルを作成されたり,IRC ボットに感染しちゃったりします.あまりにも多くの攻撃が来ているため,念のため環境を確認してもらいたくて情報公開します.

さて,まずは図1を御覧ください.

攻撃元 IP の日別の合計数(11月1日-12月20日)

図1 攻撃元 IP の日別の合計数(11月1日-12月20日)

この図1はハニーポットで検知した Apache Magica 攻撃をしてきた攻撃元の IP アドレス数を1日ごとに合計したグラフです.12月16日から攻撃元が急増しています.急増した理由は不明です.実際に攻撃を検知しているため,特定の攻撃元からの通信を遮断するような対策は,対象の IP アドレスが多く現実的はありません.そもそも脆弱性に対する根本的な対策をする必要があります.ただ,Apache Magica 以外の攻撃をしてくる可能性もあるので,これらの攻撃元からのアクセスには注目しておいた方がいいと思います.

次に図2を御覧ください.

攻撃回数 の日別の合計数(11月1日-12月20日)

図2 攻撃回数 の日別の合計数(11月1日-12月20日)

図2は図1の攻撃元から検知した攻撃回数を数えて合計したものです.同じ IP アドレスであっても,攻撃対象の URL が異なる場合は1アクセスにつき,1回の攻撃とみなしています.また調査行為も攻撃として含ませています.

12月17日は最も攻撃回数が多く119回でした.

10月に Kingcope 氏が公開した PoC コードでは次の5つの攻撃対象がハードコーディングされていました.

  • /cgi-bin/php
  • /cgi-bin/php5
  • /cgi-bin/php-cgi
  • /cgi-bin/php.cgi
  • /cgi-bin/php4

もしこの PoC コードをそのまま利用しているのであれば,1つの攻撃元 IP アドレスから5回の攻撃を受ける可能性があります.ただハニーポットのログを見る限り,いきなり攻撃をするわけではなく,まず上記の5つのファイルの存在確認をしているような,調査行為も見られました.

以上のように,特に最近は攻撃件数が多いので,念のため対策漏れがないか一度 Web サーバの状態を確認することをオススメします(バランシングしている1台だけアップデートしていなかったとか,通常は非公開のスタンバイ側をアップデートしていなかったとか,バックアップデータが古いバージョンの PHP でリカバリ後にアップデートし忘れたとか...).まずは PHP が CGI として動作する環境であるかどうかがポイントで,次に攻撃の影響を受ける脆弱なバージョンかどうかです.PHP を CGI で動作させているかどうかは,コンフィグファイル(例えば Apache の httpd.conf)で確認すると確実です.PHP のバージョンは「php -v」のコマンドで確認できます.

影響を受けるバージョン

  • PHP 5.3.12以前
  • PHP 5.4.2以前

もし影響を受ける環境であった場合は,さらに突っ込んだ調査が必要だと思います.

個人的な見解ですが,今までのハニーポットでの検知ログより,攻撃者はほぼ確実に IRC ボットの感染をさせるファイルを実行させようとしています.そのため,不審な通信が出ていないかどうかがポイントです.

多くの場合,IRC ボットのソースファイルを削除する命令が攻撃コードに含まれているので,IRC ボットと考えられる不審なプロセスがあっても,どのような動作をするのかという調査は困難です.メモリダンプから頑張る方法もありますが,専門的すぎます...

もしかしたら次のディレクトリにソースファイルが残っている可能性があります.

  • /tmp
  • /var/tmp
  • /dev/shm

 

さらに攻撃コードの中には,cron に「マルウェアを定期的にダウロードして,追加でマルウェア感染させる」情報を登録するものがありました.cron の登録状態も確認すべきだと思います.

いつか訪れる(攻撃の)終末の日が来ることを願い,今後もハニーポットのログを観察していこうと思います.

(なおハニーポットで検知した攻撃コードに含まれるマルウェアを配布しているサイトには関係各所を通じて連絡することがあります)

 

参考

CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました

CGI版PHPへのApache Magica攻撃の観察

/cgi-bin/phpへの魔法少女アパッチ☆マギカ攻撃への注意喚起

CGI版のPHPの処理の脆弱性により任意のコードが実行される脆弱性(CVE-2012-1823)に関する検証レポート

PHPの既知の脆弱性を使用した攻撃を解析できなかった

 

 

 

Written by 森久

12月 20th, 2013 at 11:45 pm