www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(26) 「37564/tcp に対するオープンプロキシの調査」

どうも.ハニーポッターの森久です.

先日,警察庁は 37564/tcp ポートに対するスキャン通信が増加していると発表しました.発表の中には,「外部からのアクセス制限が行われていないオープンプロキシを探索している」という記載がありました.

そこでオリジナルハニーポットを使い,実際にどのような攻撃が行われるのか調査しました.

 

検知したログ

さっそくですが,検知したログは下記のとおりです.

内容は以前本ブログで取り上げたことのあるオープンプロキシの調査の GET リクエストを用いた攻撃ですね.(参考:ハニーポット観察記録(23))

具体的にはポーランドドメインの google で適当な単語を検索する HTTP リクエストです.

他にも Google ポーランドで下記のような単語を検索する HTTP リクエストを検知しました.

  • praca
  • wczasy
  • polska+najlepsza

ポーランド語で「仕事」や「休日」という意味のようです.

Google ポーランド以外にも,オープンプロキシを調査するために使われるドメインに対するアクセスも見受けられました.

 

放置するとどうなるか?

今回,ハニーポットを設置してから1時間もしないうちに1回目の攻撃を検知しました.またその後も継続して攻撃を検知していることから,攻撃者はアグレッシブに脆弱なホストを探しているということが分かります.

上記の検知したリクエストは単純な Google 検索するという内容ですが,このまま放置した場合は,踏み台として悪用され,第三者により大量の HTTP 通信が発生する可能性があります.また不正アクセスの踏み台として利用される可能性もあるため,早急に対策を実施する必要があります.

 

対策

37564/tcp で動作するソフトウェアとして「提督業も忙しい!」(KanColleViewer) が挙げられます.このソフトウェアの古いバージョンでは,オープンプロキシとして悪用される脆弱性が報告されています.

そのため,このソフトウェアを利用している場合は,脆弱なバージョンを利用しているかどうか確認してください.

脆弱性が解消されているバージョンは 3.8.2 以降です.3.8.1 かそれ以前のバージョンの場合はバージョンアップすることを推奨します.

また可能であれば,ファイアウォールで,インターネットからの 37564/tcp に対する接続を拒否するルールを追加することを推奨します.

※ポートの利用状況にあわせてください.

 

以上です.

 

参考情報

特定のポートを対象としたプロキシ探索の増加について(警察庁)
http://www.npa.go.jp/cyberpolice/topics/?seq=16375

提督業も忙しい!
http://grabacr.net/kancolleviewer

「提督業も忙しい!」(KanColleViewer) がオープンプロキシとして動作する問題(JPCERT/CC)
https://jvn.jp/vu/JVNVU98282440/

 

Written by 森久

5月 27th, 2015 at 7:20 pm