1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し観測網に参加してもらう活動を行っています。各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRT等に情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、国内に設置されたセンサーで本四半期に観測されたパケットを中心に分析した結果について述べます。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 445/TCP (microsoft-ds) | 2 |
3 | 22/TCP (ssh) | 4 |
4 | 37215/TCP | 3 |
5 | 80/Tcp(http) | 5 |
※ | ポート番号とサービスの対応の詳細は、IANAの文書(*1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルに則った形式のパケットが受信されているとは限りません。 |
[表 1]に示した各宛先ポート番号をもつパケット観測数の推移を[図 1]に示します。
クリックすると拡大されます
本四半期の期間中ほぼ一定数の445/TCP宛のパケットや23/TCP宛のパケットが観測されました。37215/TCP宛のパケットは7月10日から8月10日頃にかけて一時的に増加しましたがその後は減少し、22/TCP宛のパケットと順位が入れ替わりました。
続いて、本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表 2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | オランダ | 4 |
2 | ロシア | 1 |
3 | 米国 | 2 |
4 | 中国 | 3 |
5 | 台湾 | 5 |
[表 2]の送信元地域からのパケット観測数の推移を[図 2]に示します。
クリックすると拡大されます
オランダを送信元とする観測パケットが8月26日頃から増加しました。オランダの一部のアドレス帯から複数のポートに対して何度もパケットが送信される状況が9月25日頃まで続きました。パケットの送信元IPノードの一部では、Webサーバが稼働していて、インターネットの開きポートの調査を目的としたスキャンを行っている旨を記載したWebページが公開されていました。そのため、これらのパケットの多くは開きポートの調査を目的としたスキャン活動によるパケットと思われます。本事象によりオランダの順位が変動しました。その他の地域については、一時的な増減がありましたが、順位に変化を及ぼすほどではありません。
2. 注目された現象
2.1. 10000/TCP宛のパケットの動向本四半期の宛先ポート番号トップ5には入っていませんが、2019年8月20日頃(*2,3,4)から10000/TCP宛のパケットの増加を観測しています。[図 3]に示した地域別の積上げグラフに見られるように、主な送信元は米国、ロシア、オランダ等です。
クリックすると拡大されます
HTTPサーバとして動作しHTTP要求の受信までを行うプログラムを日本国内のインターネット上の複数のアドレスブロックのネットワークエッジに設置したところ、パケットが増加した8月22日頃から米国、オランダ、フランス等を送信元とする次のような10000/TCPに対するHTTPリクエスト[図 4]が観測されました。
クリックすると拡大されます
これらのHTTPリクエストのペイロード(*5)は、インターネット上のサーバからファイルを取得させようと細工したもののように見えます。実際に、2019年8月10日(現地時刻)に米国で行われたセキュリティカンファレンスDefconでWebmin 1.882~1.921に存在する脆弱性(*6)(CVE-2019-15107)について講演があり、講演者が示した実証コード(*7)が[図 4]のコードと類似しています。[図 4]のコードは講演中の実証コードを参考にして作られたと考えられます。
なお、この脆弱性はWebmin 1.930 (*8)で修正されています。それ以前の版のWebminを使用している利用者は、バージョンアップを行うとともに、攻撃を受けていないかを確認すべきです。
日本を送信元とした23/TCP宛のパケットは、前四半期まで少なかったのですが、8月25日頃[図 5]から増加に転じました。これまでのパケットの送信元に加えて新たなノードが送信元として加わったことが増加した直接の理由です。
クリックすると拡大されます
新たに送信元に加わったノードからのパケットも、TCPのパラメータのInitial Sequence Number の値が送信先IPアドレスと一致するといったMiraiおよびその亜種と同じ特徴をもっています。新たな送信元ノードを調べると、SOAPサービスの待受けポートが開いており、試しに送ったリクエストに対する応答から、Realtek社製SDK Miniigd SOAP サービスの既知の脆弱性(CVE-2014-8361)(*3)の影響を受ける機器であると推測されました。この脆弱性をもつノードに、細工したSOAPリクエストをノードに送り付けると、当該ノード上で任意のコマンドを実行できます。これを悪用すれば、攻撃者はインターネット上の他のサイトからマルウエアを含んだファイルをダウンロードして実行させることにより、当該ノードをマルウエアに感染させることができます。
SOAPプロトコルがHTTP上で動作することを念頭に置いて、HTTPサーバとして動作しHTTP要求の受信までを行うプログラムを日本国内のインターネット上の複数のアドレスブロックのネットワークエッジに設置したところ、CVE-2014-8361の脆弱性を悪用していると見られる52869/TCP宛の攻撃を観測できました。CVE-2014-8361の脆弱性を悪用するよう細工されたSOAPリクエストの受信数は8月25日頃から増加しています。[図 6]
クリックすると拡大されます
細工されたSOAPリクエストが8月25日ころから増加した原因を、JPCERT/CCでは次のように見ています。
以前はマルウエアを含んだファイルのダウンロードサイトのテイクダウンによりマルウエアの感染拡大を抑え込んでいましたが8月25日以降は、攻撃者が、さまざまなダウンロードサイトを同時に稼働させて、そのいずれかを指定して細工したSOAPリクエストを送り付ける攻撃法に変えたようです。8月25日以降に見られるようになったダウンロードサイトの一部のURLを次に示します。なお、読者が誤ってアクセスすることがないようURLの表記を加工しています。
htt[p:]//34[.]77.215[.]41/zehir/z3hir.mips
htt[p:]//185[.]244.25[.]136/m-i.p-s.SNOOPY
htt[p:]//185[.]34.219[.]113/Mello1202/Yui.mips
htt[p:]//68[.]183.15[.]82/nyagger.mips
htt[p:] //45[.]95.147[.]105/bins/meerkat.mips
htt[p:]//142[.]11.217[.]116/mips
htt[p:] //185[.]52.2[.]124/Mello1202/Yui.mips
このような攻撃手法の変化のため、ダウンロードサイトをテイクダウンすることによる攻撃の抑止効果が低下した結果、この種のマルウエアに感染する機器が増加し、それらが送信する23/TCP宛のパケットの増加につながったと考えられます。
この脆弱性は機器(多くはルータ)のファームウエアをバージョンアップすることで解消されます。しかしながら、多くの機器でファームウエアが更新されていないため、脆弱性を悪用して感染を拡大するマルウエアに感染した機器が増加していると考えられます。
JPCERT/CCでは、マルウエアに感染し不審なパケットを送信しているルータへの対策として、順次当該IPアドレスの管理者を通じてルータの利用者に連絡し、対策をお願いしています。
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
(2) | NICTER 解析チーム(試験運用中) @nicter_jp |
https://twitter.com/nicter_jp/status/1166228427713597440 |
|
(3) | Webminの脆弱性(CVE-2019-15107)を標的としたアクセスの観測について |
https://www.npa.go.jp/cyberpolice/important/2019/201908231.html |
|
(4) | wizSafe Security Signal 2019年8月 観測レポート |
https://wizsafe.iij.ad.jp/2019/09/746/#title5 |
|
(5) | 【エバンジェリスト・ボイス】Webminの脆弱性を狙う通信の観測について |
https://www.idnet.co.jp/column/page_079.html |
|
(6) | Webmin 1.882 to 1.921 - Remote Command Execution (CVE-2019-15231) |
http://www.webmin.com/security.html |
|
(7) | Webmin Unatuhenticated MSF Module CVE-2019-15107 |
https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html |
|
(8) | Webmin 1.890 Exploit - What Happened? |
http://www.webmin.com/exploit.html |