第14回 Tokyo Jazug Night のセッション資料

1. Azure の上におとりを置いて、
世界中から攻撃される様子を観察した話
（と、少し VTAP の話）
吉松 龍輝
2018/10/24
第 14 回 Tokyo Jazug Night

2. 自己紹介
• 吉松 龍輝（よしまつ りゅうき）
• パロアルトネットワークス株式会社
• パブリック クラウド アーキテクト
• たまにメタル先輩と呼ばれる
• https://www.facebook.com/ryuki.yoshimatsu
• https://twitter.com/ryukiyoshimatsu

3. はじめに
• VM を Azure に置いても、オンプレに置いても、
インターネットに公開すると攻撃される
• Azure だから攻撃されるわけではないので誤解なさらず
• ただし、Azure VM は手軽に VM を作成・公開できるので、使い方
を間違えるとうっかりやられる
• インターネットに公開しなくても攻撃はくらう
• クライアントがやられた場合など、内部の人間から攻撃される
（やられた本人は、自分が攻撃してるという認識はない）
• どのような攻撃が来るかを把握することで、防御策を検討
する際の参考にしてください

4. 今回の観測方法
• 次世代ファイアウォール
• Palo Alto Networks VM-Series
• 攻撃内容のモニタリング
• https://www.paloaltonetworks.jp/products
/secure-the-cloud/vm-series-on-azure
• T-Pot
• ハニーポット
• 攻撃されるためのおとり
• http://dtag-dev-sec.github.io/
• この環境を一か月ほど放置
次世代ファイアウォール
ハニーポット
攻撃者
インターネット

5. 攻撃者は世界中に存在する

6. 95 パターンの攻撃が検出された
• Suspicious HTTP Evasion Found
• Suspicious HTTP Response Found
• HTTP Non RFC-Compliant Response Found
• SIP Register Request Attempt
• Microsoft Communicator INVITE Flood Denial of
Service Vulnerability
• SIP Register Message Brute Force Attack
• SSH2 Login Attempt
• Microsoft Windows SMB Negotiate Request
• MSSQL sp_password execution
• NetBIOS null session
• DoublePulsar.Gen Command and Control Traffic
• SMB DoublePulsar Ping Detection
• MSSQL Suspicious Command Detected
• MSSQL xp_cmdshell execution
• Mirai.Gen Command And Control Traffic
• Gafgyt.Gen Command And Control Traffic
• SIPVicious Scanner Detection
• Mirai and Reaper Exploitation Traffic
• Suspicious File Downloading Detection
• MSSQL sp_start_job execution
• Suspicious TLS Evasion Found
• Juniper ScreenOS Authentication Bypass
Vulnerability
• Microsoft Windows SMB Remote Code Execution Vulnerability
• Microsoft Windows Netbios ADMIN Connect
• ZmEu Scanner Detection
• HTTP OPTIONS Method
• Apache Struts Jakarta Multipart Parser Remote Code Execution
Vulnerability
• RPC Portmapper DUMP Request Detected
• DNS ANY Request
• Morto RDP Request Traffic
• Microsoft LSASS NTLM Response Denial of Service Vulnerability
• Microsoft RPC Endpoint Mapper Detection
• Microsoft remote desktop connect initial attempt
• SCADA ICCP COTP Connection Request from Unauthorized Client
• DoS/Linux.xorddos.b
• Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability
• Netbios SMB Tree connect andX Request C$ access
• SIP INVITE Method Request Flood Attempt
• SCADA Modbus Read Request to a PLC Attempt
• HPE Intelligent Management Center PLAT tftpserver fread Stack Buffer
Overflow Vulnerability
• Huawei HG532 Home Gateway Remote Code Execution Vulnerability
• Oracle WebLogic WLS Security Component Remote Code Execution
Vulnerability
• Apache Struts2 OGNL Remote Code Execution Vulnerability
• SCADA Modbus Device Identification Read Attempt
• Dorifel.Gen Command And Control Traffic
• NJRat.Gen Command and Control Traffic
• Worm/Win32.deborm.k
• SIP Malformed Request: Unknown URI Schemes in Header Fields
• Suspicious Abnormal HTTP Request Found in DNS port
• Muieblackcat Scanner Remote Code Injection Vulnerability
• GTPv1 Echo Request Message
• Avtech Devices Unauthenticated Command Injection Vulnerability
• Realtek SDK Miniigd UPnP SOAP Command Execution Vulnerability
• Netis/Netcore Router Default Credential Remote Code Execution
Vulnerability
• Microsoft Windows Server Service NetrShareEnum access
• OpenSSL TLS Heartbeat Found
• Suspicious Abnormal HTTP Request Found in NTP port
• SSH User Authentication Brute Force Attempt
• Oracle WebLogic Remote Code Execution Vulnerability
• DLink DSL Remote OS Command Injection Vulnerability
• LeapFTP Client PASV Response Buffer Overflow
• Netbios SMB Tree connect andX Request admin$ access
• D-Link DSL-2750B Remote Command Execution Vulnerability
• Sun ONC RPC Small Piece fragmentation Evasion Detection
• SMB Fragment Packet Found
• Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability
• Microsoft Windows SMB Segmentation of RPC Request Attempt
• DCOM RPC Interface Stack Overflow Exploit
• OpenSSL TLS Malformed Heartbeat Request Found - Heartbleed
• Microsoft RPC ISystemActivator bind
• MVPower DVR Remote Command Execution Vulnerability
• ZeroAccess.Gen Command and Control Traffic
• SIP Bye Request Attempt
• Avtech Devices Unauthenticated Information Disclosure Vulnerability
• Microsoft Windows user enumeration
• Gh0st.Gen Command and Control Traffic
• Dahua Security DVR Appliances Authentication Bypass Vulnerability
• SIP Malformed Request: Request-URI with Unknown Scheme
• Apache CouchDB JSON Remote Privilege Escalation Vulnerability
• FTP Protocol Evasion Application Detection
• Trojan-Ddos/Linux.ddostf.d
• Eir D1000 Modem CWMP Command Injection Vulnerability
• Microsoft Windows Server Service Remote Stack Overflow Vulnerability
• Suspicious Abnormal HTTP Request Found in LPD port
• Windows Server Service NetrpPathCanonicalize access
• Suspicious Microsoft Windows SMB Fragmentation RPC Request Attempt
• DNS RRSIG Query Type Packet
• KilerRat.Gen Command And Control Traffic
• IPMI Cipher Zero Authentication Bypass Vulnerability
• HTTP SQL Injection Attempt
• PHP CGI Query String Parameter Handling Information Disclosure
Vulnerability
他 3 つ

7. 代表的なものをピックアップ

8. SSH に対するブルートフォース攻撃
• ランダムなユーザー名とパスワードを使って総当たり

9. 非標準ポートへの通信の試行
• HTTP/SSL
• 標準ポート 80/443 に対して、8081、4443 など
• HTTP は 1550 パターン、SSL は 437 パターンで試行
• SSH
• 標準ポート 22 に対して、2222、2022、2202、8822 など
• 34 パターンのポートで試行
• RDP
• 標準ポート 3389 に対して、33389、3390、3393、3379 など
• 26692 パターンのポートで試行
• ポート番号を変更して公開しても、セキュリティ的には
あまり意味がない（ソース IP のフィルタの方が有効）

10. MS17-010：SMBv1 の脆弱性
• DoublePulsar.Gen Command and Control Traffic
• Microsoft Windows SMB Remote Code Execution
Vulnerability
• 攻撃用のサンプルコードが公開されている
• https://github.com/rapid7/metasploit-
framework/pull/9473?fbclid=IwAR2BwjJXwjJYOt64BCNawjjKHUvk
_BpmAgFXPA9WjBfTrQGPOpn5q8RyPGE
• ExpressRoute/VPN 経由の侵入に要注意

11. Apache 関連
• 2017 年～2018 年に報告された脆弱性をつく攻撃
• Apache Struts Jakarta Multipart Parser Remote Code Execution
Vulnerability
• Apache Struts2 OGNL Remote Code Execution Vulnerability
• Apache CouchDB JSON Remote Privilege Escalation Vulnerability
更新：Apache Struts2 の脆弱性対策について(CVE-2017-
5638)(S2-045)(S2-046)
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

12. Command & Control (C&C)
• 組み込みデバイスを狙った攻撃
• Mirai.Gen Command And Control Traffic
• Gafgyt.Gen Command And Control Traffic
• オンプレの組み込みデバイスが対策済みか要注意
顕在化したIoTのセキュリティ脅威とその
対策
https://www.ipa.go.jp/files/000062277.pdf

13. 更新プログラムの公開から
パッチ適用までのタイムライン
• 一日以内に頑張る
脆弱性を悪用する攻撃への効果的な対策についてのレポート
https://www.ipa.go.jp/files/000034643.pdf

14. Meltdown/Spectre の Azure 対応の例
• 一日以内に頑張ってくれた US 時間の 1 月 3 日
CPU の脆弱性から Azure のお客様を保護するために
https://blogs.technet.microsoft.com/jpaztech/2018/01/04/securing-azure-customers-from-cpu-vulnerability/

15. PaaS でセキュリティ更新作業を軽減
• VM については、オンプレでも Azure でも、OS やミドル
ウェアの更新はユーザーが責任を持って行う
• PaaS を使って
ラクしよう
Azure インフラストラクチャのセキュリティ
https://docs.microsoft.com/ja-
jp/azure/security/azure-security-infrastructure

16. ここから VTAP の話

17. TAP とは何か？
• オンプレのネットワークで従来から使われている
テクニック
• ネットワークのトラフィックをミラー
リングしてネットワーク機器に渡す
• 既存のネットワーク構成を変更するこ
となく、現状のトラフィックを監視す
ることが可能

18. Azure VNET を監視する際のデザイン
• WordPress のトラフィックを監視しようとした場合
MySQL
Web
変更
MySQLWeb
Security (NVA)
Web トラフィックは
この NIC で監視
• Web <-> DB 間の
トラフィックは
この NIC で監視
• UDR で Next Hop を
NVA に設定
• UDR はサブネット内
の全ての VM に影響

19. VTAP を使うと NVA の設置が容易
• ただし、目的は「防御」
ではなく「監視」
トラフィックが
ミラーされる
仮想ネットワーク TAP
https://docs.microsoft.com/ja-jp/azure/virtual-
network/virtual-network-tap-overview

20. まずは現状の把握
そして、対策を講じましょう