
2023年7月度 MBSD-SOCの検知傾向トピックス
2023年7月度のMBSD-SOCにおける検知傾向トピックスです。
以前の記事で、HTTP(S)のリクエスト時に使用されるHostヘッダに着目して傾向を分析しましたが、今回はUser-Agentヘッダに着目してみました。
セキュリティに直接関わっているというわけではない方でも、Webサーバのアクセスログの分析等で、特殊なUser-Agentを見かけて気になったことがある方はいらっしゃるのではないかと思います。SOCでアラート分析していても、とても気になります。
そこで、MBSD-SOCで観測したアラートについて、User-Agentの観点から分析し、どのような不正アクセスが来ているのか、どのような対策が考えられるかについて見ていきたいと思います。
クライアントはWebサーバにリクエストを送る際に、クライアントアプリケーションの情報をUser-Agentヘッダーとして送信します。通常はブラウザやクライアントアプリを識別する情報が入ります。ブラウザの場合は、以下のような形式となります。
Chrome(Windows)の例
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36
しかしながら、Webサーバのアクセスログを見てみると、実際には他にも様々なUser-Agentからのリクエストがあります。 検索エンジンのクローラや調査機関からのリクエスト等、問題ないものもありますが、不正アクセスと思われるようなUser-Agentのリクエストも多くあります。また、User-Agentは偽装することも可能です。
図1.リクエストのUser-Agent例
2022年8月のある期間に、MBSD-SOCで観測したHTTP(S)リクエストのUser-Agentを集計しました。
今回はどのような不正アクセスが来ているのかのご紹介を目的としてるため、以下のような簡易的な条件で集計しています。
・不正アクセスでないもの、ぱっと見でWebブラウザのように見えるもの、固有の環境要因のもの等は除外
・バージョンが異なるものや内容が同じものは集約
・WAFとIPSの検知アラート(検知傾向が多少異なるもの)を混在
そのため、各件数は、絶対値にはあまり意味がありませんが、他との相対でご参考情報として見て頂ければと思います。
集計は3つの観点から傾向を出してみました。そのうち、上位10件をご紹介します。
図2. User-Agentの集計
各集計結果の上位には、大まかに以下のような傾向がありました。
続いて、各User-Agentについて、どのようなものか、どのような不正アクセスがあるのかをご紹介します。
その他、集計が難しいものとして、SQLインジェクションやOSコマンドインジェクション等のコードがUser-Agentに挿入されたものも多くありました。
これらの結果から、以下のようなことが分かります。
攻撃の目的や対象の分類としては、大まかに以下のようなものが推測されます。
尚、今回は時間の推移での集計までは出せていませんが、9月や10月で集計すると、別の脆弱性を狙うUser-Agent名も上位に確認できます。攻撃者側も新しく公開された脆弱性に対応する等によってその時により傾向は変化します。「MBSD-SOCの検知傾向トピックス」でも毎月の傾向を掲載させて頂いていますが、脆弱性によっては、近年は公開から攻撃開始までの期間が非常に短いもの(数日や数時間)が多くあります。例えば10月であれば、 FortiGateの認証バイパスの脆弱性(CVE-2022-40684)を狙ったものは、攻撃コード公開からすぐに、” Report Runner”といったUser-Agent名で観測されています。
これらの傾向を踏まえて、ありきたりではありますが、以下のような基本的な対策が重要だと再認識させられます。
また、今回ご紹介した不正アクセスの中で、Webサイト環境への対策としては、以下のようなものも挙げられます。
①Webサーバの設定やWAF/IPSでブロック
User-Agentからの観点においては、今後も様々な脆弱性を狙ってきそうなUser-Agentはあらかじめ拒否しておくことができます。Webサーバでの対策であればconfで設定できます。また、毎度のご紹介となってしまいますが、WAFやIPSでは様々な攻撃を検知できるシグネチャが提供されており、User-Agentを検知条件としたシグネチャが提供されているケースもあります。MBSD-SOCでもUser-Agentを検知条件としたカスタムシグネチャも作成しています。尚、curlやpythonのライブラリ等は本来は攻撃に特化したものではないため、拒否設定に当たっては事前に影響確認が必要です。
②WAAP(Web Application and API Protection)製品でブロック
今回挙げたようなUser-Agentからの不正アクセスは、機械的に不特定多数にリクエストを投げるものが多くあります。そのようなものは、WAAP製品等に含まれるIPレピュテーション値やボット対策等の機能が有効です。WAF/IPSのシグネチャマッチングでは検知・ブロックできないアクセスもブロックできる可能性もあります。攻撃が複雑化する中で、多層防御の中の一つの層の中でも複数のアプローチで対策すると効果的です。
また、各製品メーカから特色ある機能も提供されています。例えばF5社のXC WAAPに含まれているThreat Campaignという機能は、その時に流行りの不正アクセスをブロックできるもので、上記「アラートの集計」でご紹介した不正アクセスにも多く対応しており、かつ検知精度も非常に高いです。
図3.WAAP製品でのブロック
今回は、攻撃者が利用するツール名という、興味本位的な要素もある切り口から分析してみました。そのため、不正アクセスの全体感が分かるようなものではありませんが、それでも色々な種類の攻撃が広く行われていることが分かります。
上記で"基本的な対策が重要"と記載してしまいましたが、それを完璧に行うことは実際にはなかなか難しいかとは思います。ではどこまでやったらいいのかについて、不正アクセスの実態の面から、何かご参考になれば幸いです。
関連記事