« 中国人民解放軍61486部隊(PUTTER PANDA)に関する情報 | メイン | 9.18で改ざんされたWebサイトをMaltegoで見てみた »

2014年9月 2日 (火)

Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~

先月、米国で病院経営を手掛けるCommunity Health Systemsが、中国からのサイバー攻撃を受け、450万人分の患者情報が流出したとのニュースは記憶に新しいところです。有識者の見解によると、攻撃グループは、Dynamite Panda(Mandiant社の呼称ではAPT18)と見られています。報道内容によると、侵入の発端は、VPN装置のOpenSSLの脆弱性(Heartbleed)を突き、認証情報を盗み、VPNでリモートログインしたようです。
さて、ここで一つ疑問があります。攻撃者は、どのようにしてVPN装置の存在、そのIPアドレスを知ったのでしょうか。

ここからは攻撃者の目線になって、仮のドメイン(example.co.jp)を侵入ターゲットとし、偵察行為をしてみます。まず、example.co.jpのDNSレコード(NS/MX/A)を引いてみます。Aレコードは、wwwだけでなく、www2、ftp、test、support、vpnなど、FQDNとしてよく使いそうなホスト名を付与して正引きをトライして探します。または、Googleなどの検索エンジンで、site:example.co.jp といったキーワードで検索することで、当該ドメインで検索エンジンに登録されたWebサイトを検索することができます。このような偵察行為は、手作業で一回ずつ実行しても良いのですが、MaltegoのようなOSINTツール(オープンソース・インテリジェンス・ツール)を使えば、容易く実行することができます。(図1)

Example01

図1 MaltegoでDNSレコードを偵察した結果イメージ
(実在するドメインに関する情報ではありません)

図1では、vpn.example.co.jpという攻撃者にとって興味深いホストが見つかった想定です。もしここで侵入口となるVPN装置が見つからない場合でも、もう少し深掘りできます。図1で見つかったDNSレコードを正引きし、IPアドレスへ変換します。それらのIPアドレスが所属するネットブロック内で、ひたすら逆引きし、当該ドメインに所属するDNSレコードを探します。Maltegoを使うと、図1で見つからなかったDNSレコードが見つかり、その中には、wwwtest、remote-accessなど、攻撃者の侵入口となる可能性があるホストが見つかります。(図2)

Example02

図2 Maltegoを使ってネットブロックからDNSレコードを探索
(実在するドメインに関する情報ではありません)

ところで、権威DNSサーバ側で、ゾーン転送の要求元を制限していない場合、上記のようなアプローチを取らなくても、図3のように、存在するホストと、そのIPアドレスを全て知ることができるのは多くの方がご存知でしょう。しかし、ゾーン転送以外にも、ターゲット組織が所有しているVPN機器などの所在を知る術があることは認識しておく必要があります。

Dig

図3 ゾーン転送が可能になっているドメインに対するdigコマンドの結果

標的型攻撃やAPTと聞くと、侵入方法として、スピアフィッシングや、ドライブバイダウンロードなどのWebからの感染が頭に浮かびますが、米国Community Health Systemsのように、公開システムからの侵入も多く報告されています。自組織の管理するシステムにおいて、グローバルIPアドレスを付与したシステムは、たとえ社員専用であっても、攻撃者から認知されていると考え、相応の対策が必要であることは言うまでもありません。

今回、Maltegoというツールを使って、簡単な偵察行為を行いましたが、自組織のドメインに対し、このような偵察行為を行うことで、事前にリスクを把握することができるでしょう。

Maltegoは、Paterva社のWebサイト(http://www.paterva.com/)からダウンロードできます。機能は制限されますが、フリーのCommunity versionもありますので、ご興味ある方は、自組織のドメインに対して試してみて下さい。


免責:
本記事に掲載した偵察行為を自身の管理下にないネットワークに実行した場合は、攻撃行為と判断される場合があります。本記事を利用した行為による問題に関しましては、筆者およびマクニカネットワークス株式会社は一切責任を負いかねますのでご了承ください。

« 中国人民解放軍61486部隊(PUTTER PANDA)に関する情報 | メイン | 9.18で改ざんされたWebサイトをMaltegoで見てみた »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat