cNotes 検索 一覧 カテゴリ

Remote File include攻撃の増加

Published: 2007/11/28

11月21日(水)にWebアプリケーションを狙ったRemote File Include攻撃を多数検知しました。(図2)脆弱なWebアプリケーションが存在した場合、被害を受けたサーバは外部の悪意のあるコードを取得し、被害を受けたサーバ側で実行させられます。実行されるコードは様々ですが一般的にはボット用のコードや被害サーバを外部から管理する為の総合管理用コード(r57/c99等)などが挙げられます。

攻撃検知推移を見ていただけると分かりますが、この攻撃は日常的に発生していますが、21日に検知件数が普段の約16倍に増加しています。これは、ボットネットからのWebアプリケーションに対する総攻撃が行われた可能性があることを示しています。

攻撃要求を調査した結果、送信元ホストはボットクライアントである為様々ですが、攻撃が成功した場合に取得するファイルが保存されているサーバがいずれも"85.114.128.21"であることを確認致しました。このことから、攻撃者は"85.114.128.21"のホストに悪意のあるファイルを保管し、ボットネットを利用して感染数を拡大させようとした可能性が考えられます。

悪意のあるファイルは2つ存在し、そのどちらかを取得し実行するような攻撃要求でした。

85.114.128.21/t.txt(現在取得不可)このファイルはテキストファイルでした。このファイルは2つ目の悪意のあるファイルを取得し(wget/curl等)実行するように記述されていました。

85.114.128.21/barbut(現在取得不可)このファイルはバイナリファイルでした。簡易調査を行った結果、このファイルはボットに感染する為のファイルでした。またこのボットはudpfloodやsynfloodを行う機能を備えており、ボットに感染した後に、ハーダの命令によってDDOSを行う可能性が考えられます。

---------------------------------------------------------------------

%md5 barbutMD5 (barbut) = 6c102be00c02d8c9ae2c0491cd55660c

%file barbutbarbut: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), not stripped

----------------------------------------------------------------------

上にも説明致しましたが、この攻撃は日常的に発生している攻撃の1つです。21日に攻撃が急増しておりますが今後もこのような一時的な急増を検知する可能性が考えられます。様々なWebアプリケーションを攻撃対象としており、断定することは難しいことから、セキュリティ管理者は自ネットワーク内で使用しているWebアプリケーションに脆弱性が存在しているか定期的に確認し、セキュアに保つことをお勧め致します。

By GGaT