« 中国人民解放軍61486部隊(PUTTER PANDA)に関する情報 | メイン | 9.18で改ざんされたWebサイトをMaltegoで見てみた »

2014年9月 2日 (火)

Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~

先月、米国で病院経営を手掛けるCommunity Health Systemsが、中国からのサイバー攻撃を受け、450万人分の患者情報が流出したとのニュースは記憶に新しいところです。有識者の見解によると、攻撃グループは、Dynamite Panda(Mandiant社の呼称ではAPT18)と見られています。報道内容によると、侵入の発端は、VPN装置のOpenSSLの脆弱性(Heartbleed)を突き、認証情報を盗み、VPNでリモートログインしたようです。
さて、ここで一つ疑問があります。攻撃者は、どのようにしてVPN装置の存在、そのIPアドレスを知ったのでしょうか。

ここからは攻撃者の目線になって、仮のドメイン(example.co.jp)を侵入ターゲットとし、偵察行為をしてみます。まず、example.co.jpのDNSレコード(NS/MX/A)を引いてみます。Aレコードは、wwwだけでなく、www2、ftp、test、support、vpnなど、FQDNとしてよく使いそうなホスト名を付与して正引きをトライして探します。または、Googleなどの検索エンジンで、site:example.co.jp といったキーワードで検索することで、当該ドメインで検索エンジンに登録されたWebサイトを検索することができます。このような偵察行為は、手作業で一回ずつ実行しても良いのですが、MaltegoのようなOSINTツール(オープンソース・インテリジェンス・ツール)を使えば、容易く実行することができます。(図1)

Example01

図1 MaltegoでDNSレコードを偵察した結果イメージ
(実在するドメインに関する情報ではありません)

図1では、vpn.example.co.jpという攻撃者にとって興味深いホストが見つかった想定です。もしここで侵入口となるVPN装置が見つからない場合でも、もう少し深掘りできます。図1で見つかったDNSレコードを正引きし、IPアドレスへ変換します。それらのIPアドレスが所属するネットブロック内で、ひたすら逆引きし、当該ドメインに所属するDNSレコードを探します。Maltegoを使うと、図1で見つからなかったDNSレコードが見つかり、その中には、wwwtest、remote-accessなど、攻撃者の侵入口となる可能性があるホストが見つかります。(図2)

Example02

図2 Maltegoを使ってネットブロックからDNSレコードを探索
(実在するドメインに関する情報ではありません)

ところで、権威DNSサーバ側で、ゾーン転送の要求元を制限していない場合、上記のようなアプローチを取らなくても、図3のように、存在するホストと、そのIPアドレスを全て知ることができるのは多くの方がご存知でしょう。しかし、ゾーン転送以外にも、ターゲット組織が所有しているVPN機器などの所在を知る術があることは認識しておく必要があります。

Dig

図3 ゾーン転送が可能になっているドメインに対するdigコマンドの結果

標的型攻撃やAPTと聞くと、侵入方法として、スピアフィッシングや、ドライブバイダウンロードなどのWebからの感染が頭に浮かびますが、米国Community Health Systemsのように、公開システムからの侵入も多く報告されています。自組織の管理するシステムにおいて、グローバルIPアドレスを付与したシステムは、たとえ社員専用であっても、攻撃者から認知されていると考え、相応の対策が必要であることは言うまでもありません。

今回、Maltegoというツールを使って、簡単な偵察行為を行いましたが、自組織のドメインに対し、このような偵察行為を行うことで、事前にリスクを把握することができるでしょう。

Maltegoは、Paterva社のWebサイト(http://www.paterva.com/)からダウンロードできます。機能は制限されますが、フリーのCommunity versionもありますので、ご興味ある方は、自組織のドメインに対して試してみて下さい。


免責:
本記事に掲載した偵察行為を自身の管理下にないネットワークに実行した場合は、攻撃行為と判断される場合があります。本記事を利用した行為による問題に関しましては、筆者およびマクニカネットワークス株式会社は一切責任を負いかねますのでご了承ください。

« 中国人民解放軍61486部隊(PUTTER PANDA)に関する情報 | メイン | 9.18で改ざんされたWebサイトをMaltegoで見てみた »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat