www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(23)

こんにちは.ハニーポッターです.

ハニーポットで Web サーバの設定不備を狙った,プロキシサーバの探索(第三者中継攻撃)を検知しています.第三者中継攻撃は以前から検知していましたが,ここ数ヶ月間は件数が増加しています.

攻撃手法自体は古くからありますが,最近はこの攻撃について語られることが少ないです.そのため Web サーバのアクセスログには記録されているが,どのような攻撃であるのか把握できていないという方もいるのではないでしょうか.今回はこの閉ざされた扉を開けようと思います.

攻撃手法について

最初に,第三者中継攻撃について簡単に説明します.

ハニーポットでは,大きく分けて下記の2種類の第三者中継攻撃を検知しています.

  1. GET メソッドを用いた攻撃
  2. CONNECT メソッドを用いた攻撃

第三者中継攻撃の概念図

図1 第三者中継攻撃の概念図

1の GET メソッドを用いた攻撃は,図1の中で緑の実線が該当し,Web サイトの不正な閲覧の踏み台にされます.

流れとしては,最初に攻撃者から不正中継のリクエストを管理しているサーバが受け取ります.もし設定に不備があれば外部の Web サーバに対して,不正中継のリクエストを元にアクセスをします.その後,そのレスポンスの内容を攻撃者に返します.

このとき,外部の Web サーバの観点に立つと,アクセスログに記録されている送信元は攻撃者ではなく,管理している Web サーバとなります.従って攻撃者は,自分の身元を隠しつつ,Web サイトを閲覧することが可能となります.

※設定によっては X-Forwarded-For という HTTP ヘッダに記録される場合があります.

 

2の CONNECT メソッドを用いた攻撃は,上記の Web サイトの不正な閲覧以外にも,図1の中で紫の点線が該当し,スパムメールの踏み台として利用される場合があります.

流れとしては,最初に攻撃者からメール送信のリクエストを管理している Web サーバが受け取ります.その内容を元に外部のメールサーバ1とメール送信と受信のやりとりを中継します.その結果,外部のメールサーバ1に対してメールの送信が行われます.その後,送信先のメールアドレスに対して,外部のメールサーバ2など,他のメールサーバへ送信されていきます.

このとき外部のメールサーバ1の観点に立つと,メールの送信元は管理している Web サーバです.従って攻撃者は,自分の身元を隠しつつ,メールの送信をすることが可能になります.

 

本記事では上記の2つの攻撃手法について,ハニーポットで検知したログを紹介します.

 

GET メソッドを用いた攻撃

検知した攻撃リクエストを下記に示します.

攻撃リクエスト その1

GET http://www.●▲■.com/ HTTP/1.1
Host: www.●▲■.com
Accept: */*
Content-Type: text/html
Proxy-Connection: Keep-Alive
Content-length: 0

 

攻撃リクエスト その2

GET http://6.●▲■.cn/zc/chs/img/body.png HTTP/1.1
Host: 6.●▲■.cn
Proxy-Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.3072; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Tablet PC 2.0)
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: iso-8859-1,*,utf-8

※一部の情報を意図的に ●▲■ に変更し,伏せています.

上記の「攻撃リクエスト その1」は,特定の Web サイトが攻撃対象を介して閲覧可能かどうかを調査する通信です.

次に「攻撃リクエスト その2」は,ある中国の Web サイトから body.png というファイルをダウンロード可能かどうかを調査する通信です.なお body.png はマルウェアのような不審なファイルではなく,水色から白にグラデーションしていく,普通の PNG 画像ファイルでした.

もし管理しているネットワークで Squid のようなプロキシサーバを運用されている方であれば,上記のリクエストは通常の HTTP リクエストのように見えるかもしれません.しかしながら,一般に公開している Web サーバにおいて,割り当てているドメインとは異なるドメインや,http:// から始まるような URI のリクエストは,通常発生し得るものではなく,不正中継攻撃の可能性が高いです.

 

CONNECT メソッドを用いた攻撃

検知した攻撃リクエストを下記に示します.

 攻撃リクエスト その1

CONNECT www.●▲■.com:443 HTTP/1.0

 

攻撃リクエスト その2

CONNECT mx0.●▲■.com.tw:25 HTTP/1.0

※一部の情報を意図的に ●▲■ に変更し,伏せています.

CONNECT メソッドは通常,プロキシサーバを介して HTTPS 通信する際に,通信内容を転送するために利用されます.

上記の「攻撃リクエスト その1」はあるドメイン名に対して通信しようと試みています.しかし,このリクエストを記録しているサーバはハニーポットであり,プロキシサーバではありません.そのため,この通信は Web サイトの不正な閲覧を試みる,第三者中継攻撃と考えられます.

次に「攻撃リクエスト その2」はあるドメインの 25 番ポートに対して通信しようと試みています.25/tcp はメール送信をする SMTP で利用されるポートです.今回の攻撃リクエストは最初の接続の試みだけを検知しており,実際に送信されるメールの内容は得られませんでした.

1年ほど前になりますが,同様の攻撃でどのような(スパム)メールが送信されるか気になったことがあり,詳細な調査をしたことがあります.そのときに得たメールは,本文が中国語で書かれており,学習教材の通販や,ちょっとえっちなアダルト商品の通販といった内容でした.またそのメールに含まれる URL から通販サイトへ誘導され,商品購入のための氏名や住所,電話番号,メールアドレスを入力させるフォームが設置してありました.私は実際にそのサイトを通じて商品を購入したり,フォームへ入力をしたりしたわけではありませんが,おそらく個人情報の収集が狙いだったのではないかと推測します.

全てのスパムメールが上記のような目的や狙いであるとは限りませんが,スパムメールの内容の一例として,参考にしていただければと思います.

 

攻撃は増加傾向

押し寄せる闇がどのように変化しているのか,ハニーポットにおける検知件数を示します.下図2と図3では GET メソッドおよび CONNECT メソッドそれぞれで,攻撃検知件数を集計しました.なお同じ期間で長期観察しているハニーポットが2台あったため,2013年10月1日から2014年11月23日(記事作成前日分)までを対象にしました.

 

proxy-count-GET

図2 GET メソッドを用いた第三者中継攻撃の検知件数 

図2 は GET メソッドを用いた第三者中継攻撃の検知件数です.ハニーポット1および2両方とも,ほぼ同程度の第三者中継攻撃を検知しています.明確な理由は不明ですが,2014年9月と10月は増加傾向にありました.また真偽不明ですが,1年前の同時期の2013年10月と同じぐらい2014年10月の検知が多いです.

11月(今月)は23日分のため件数としては少ないですが,継続して検知している状態です.

 proxy-count-CONNECT

図3 CONNECT メソッドを用いた第三者中継攻撃の検知件数 

図3は CONNECT メソッドを用いた第三者中継攻撃の検知件数です.ハニーポット1および2両方とも,ほぼ同程度の第三者中継攻撃を検知しています.明確な理由は不明ですが,GET メソッドによる攻撃とは傾向が少し異なり,2014年3月までは検知件数が少なかったものの,同年4月から急激に検知件数が増加しています.また11月(今月)は23日分のため件数としては少ないですが,継続して検知している状態です.

 

まとめ

今回は Web サーバの設定不備を狙った,第三者中継攻撃に関するハニーポットの検知ログの紹介をしました.攻撃には GET メソッドを用いた方法と CONNECT メソッドを用いた方法が利用されており,それぞれ検知件数は増加傾向にあります.

これらの攻撃の対策としては,プロキシサーバとして利用しているサーバであれば接続元の制限を推奨します.目を閉じずに,まずは mod_proxy 等のプロキシ機能を提供するモジュールの設定ファイルの見直し,どのような公開設定になっているのかを確かめましょう.

また通常の Web サーバであれば,CONNECT メソッドの利用を制限することを検討してください.

 

参考情報
第3回 脆弱なホストを狙った不正中継を見抜く
http://www.atmarkit.co.jp/fsecurity/rensai/handling03/handling01.html

 

Written by 森久

11月 24th, 2014 at 9:34 pm