ハニーポットによるApache Strutsの脆弱性に対する攻撃の観測

田辺, 瑠偉, 上野, 航, 吉岡, 克成, 松本, 勉

近年，Webを媒介とした攻撃が増加しており早急な対策が求められている．Web媒介型攻撃への対策を考えるうえで，インターネット上で起きている攻撃を観測することは重要であり，脆弱なネットワークサービスを模擬したハニーポットシステムが広く用いられている．本研究では，2017年に重大な脆弱性が報告されたApache Strutsの脆弱性に対する攻撃を観測するためのハニーポットを実現し，その観測結果を示す．観測実験では，ハニーポットを2017年7月から12月までの間インターネット上に公開し，Apache Strutsの脆弱性を突いてLinuxサーバやWindowsサーバに対してコマンドインジェクションが行われる様子を観測した．観測した攻撃コマンドの多くは検体をダウンロードするコマンドであり，11種類の実マルウェア検体の収集に成功した．また，収集した検体を動的解析したところ，仮想通貨のマイニングプールへの通信が確認された．一方，観測された攻撃コマンドにはハニーポットのWebアプリケーションディレクトリに不正なWebコンテンツを埋め込む攻撃コマンド等も確認された．このように，攻撃者は様々な目的でApache Strutsの脆弱性を悪用することが分かった．

Recently, Web-based attacks have been increasing and that immediate response are required. To cope with the attack, it is important to observe attacks that are occurring on the Internet. Honeypot systems that emulate vulnerable network services are widely developed and operated. In this paper, we observe attacks that abuse vulnerabilities of apache struts by implementing a honeypot which has vulnerabilities of apache struts reported in 2017. During the experiment, we revealed our honeypot to the Internet on July, 2017 to December, 2017. We observed many code injections that target Linux server and Windows server. These commands were mainly attacks that try to download files from another server. We were successful to download 11 malware binaries and by executing them in a virtual environment, we monitored traffics that access to a mining pool of virtual currency. On the other hand, we also observed a command that download's a file in the Web application directory and alter the web site. From these result, it is clear that attackers target apache struts for many purposes.

ハニーポットによるApache Strutsの脆弱性に対する攻撃の観測

書誌事項

この論文をさがす

抄録

収録刊行物

キーワード

詳細情報詳細情報について

書き出し

問題の指摘

ハニーポットによるApache Strutsの脆弱性に対する攻撃の観測

書誌事項

この論文をさがす

抄録

収録刊行物

キーワード

詳細情報 詳細情報について

書き出し

問題の指摘

参加プロジェクトリスト

詳細情報詳細情報について