ハッカーがWebアプリケーションを攻撃する方法：ボットと単純な脆弱性

パブリックWebアプリケーションは、攻撃者にとって魅力的な標的です。 Webアプリケーションへの攻撃は、企業の内部リソースへのアクセス、機密情報、アプリケーションの中断、ビジネスロジックのバイパスなど、Webアプリケーションに大きなチャンスをもたらします。ほとんどの攻撃は、所有者に金銭的および評判の両方の金銭的利益をもたらします。 Webアプリケーション。 さらに、攻撃に成功すると、資格情報を盗んだり、ユーザーに代わってサイトでアクションを実行したり、ワークステーションにマルウェアを感染させたりすることができるため、Webアプリケーションのユーザーが危険にさらされます。



Webアプリケーションへの攻撃を調査する場合、まず、攻撃者の間でどの攻撃が最も人気があるのか​​、攻撃者の行動の可能性のある動機は何か、そしてさまざまな業界の脅威の主な原因を特定するタスクを設定します。 このデータにより、Webアプリケーションを保護するときに考慮すべき側面を理解できます。 さらに、会社の範囲に応じた攻撃の種類と攻撃者の活動の分布、および年間の攻撃の性質のダイナミクスを考慮します。



攻撃に関する初期データを収集するために、2016年のPT Application Firewall（PT AF）の実装のためのパイロットプロジェクト中に取得したデータを使用しました。 パイロットプロジェクトには、政府機関、教育、金融、輸送、産業、ITの分野の組織が参加しました。 検討中のシステムには、ロシア企業と外国企業の両方があります。 この調査で引用された攻撃の例はすべて、手動で誤検知が確認されており、信頼できるものです。

業界の攻撃の人気

パイロットプロジェクトで最も一般的なのは「SQLステートメントの実装」と「OSコマンドの実行」で、そのような攻撃はシステムの80％以上でPT AFによって検出されました。 パストラバーサルは、特定された攻撃の中で人気が2位です。 明らかに、最初に、攻撃者は実行に特別な条件を必要としない最も単純な攻撃を使用しようとします。 基本的に、攻撃検出の割合が低いことは、複雑度が高いこと、またはその実装に特別な条件が必要であることを示します。たとえば、Webアプリケーションでファイルをダウンロードする機能や、ユーザー側で特定のアクションを実行する機能があります。



最も人気のある攻撃の評価をコンパイルするとき、脆弱性のWebアプリケーションの自動スキャン用の特別なソフトウェア（Acunetix、sqlmapなど）によって実行された攻撃を除外しました。







最も一般的な攻撃（Webアプリケーションのシェア）の評価



この評価のほとんどの攻撃は、重大な脆弱性を悪用し、Webアプリケーションとサーバーの完全な侵害につながる可能性があり、攻撃者がローカルネットワークのリソースにアクセスする可能性があります。



PT AFの間に記録された攻撃タイプの割合とその数は、調査対象のシステムが属する業界によって異なります。 攻撃者の目標は異なりますが、攻撃者のスキルレベルと技術的能力も異なります。 以下の図は、システムごとの1日あたりの平均攻撃数と、手動で実行され、自動スキャンのユーティリティを使用した攻撃の数の比率を示しています。







システムごとの1日あたりの平均攻撃数







自動スキャンと手動攻撃の比率



政府機関やオンラインストアを除くすべての業界に対する攻撃のほとんどは、特殊な脆弱性検索ソフトウェアを使用して実行される攻撃です。 自動スキャンには、セキュリティ分析用の既成のソフトウェアツールを使用した、SQLステートメントの導入、パストラバーサルなど、さまざまな種類の攻撃の試行が含まれます。 攻撃者はスキャンの結果を使用して、脆弱性を悪用し、機密情報、ローカルネットワークリソース、重要なシステムにアクセスする前に攻撃ベクトルをさらに開発したり、ユーザーに対して攻撃を実行したりできます。



以下の図は、sqlmapユーティリティを使用した自動スキャン検出の例を示しています。 PT AFは、User-Agent HTTPヘッダーの不要なコンテンツと、SQLステートメントインジェクションを含むクエリを検出しました。







自動スキャン検出の例



1日あたりの最大攻撃数-約3,500件の攻撃-は、政府機関でのパイロットプロジェクト中に記録されました。 自動化された脆弱性検索は、攻撃の総数のわずか18％を占めています。 この評価では、オンラインストアが2位にランクされています。1日あたり約2200件の攻撃が記録され、それらのほとんどすべてが自動スキャンツールを使用せずに実行されました。



金融セクターでは、PT AFが1日に約1,400件の攻撃を記録し、そのうち自動化された脆弱性検索が普及しました。 輸送リソースとIT企業は、1日に平均約680の攻撃を占めており、そのほとんどは自動化された脆弱性検索でもあります。



教育部門の1日あたりの平均攻撃数の計算から、情報および分析センターは除外されました。その機能には州の試験結果の処理が含まれます。 このセンターのパイロットプロジェクトは、夏に学校の生徒が統一国家試験と国家安全検査局に合格したときに行われました。その結果、Webアプリケーションに対する攻撃が非常に多く、1日あたり20,000件を超えました。 ただし、最も一般的なのは、脆弱性のスキャンツールを使用した攻撃です。 情報セキュリティの基本的な知識とセキュリティメカニズムのバイパス方法を習得している学生は、公開されているソフトウェアを使用してシステムをスキャンできます。 これは、このタイプの攻撃のほとんどが米国から来たという事実も説明しています。公益事業やオンラインサービスが米国にあるプロキシを使用した可能性があります。 情報および分析センターに対する攻撃の目標は、試験結果および試験資料へのアクセスである可能性が最も高かった。 おそらく学生は、この方法で試験のために得られたスコアを変更できると考えました。 さらに、攻撃者が脆弱性を見つけようとしたと想定できます。脆弱性を悪用すると、その後の違法配布のために試験資料のデータベースにアクセスできます。

産業システムの場合、PT AFは1日あたり約50の攻撃を記録し、ほとんどすべてが自動化された脆弱性検索であり、手動で実行されたのは1％だけでした。



次の図は、各業界の攻撃者によって実行される攻撃の種類の関係を示しています。脆弱性の自動スキャンの一部として実行された攻撃は、特定の業界に固有ではないため、計算から除外されました。







手動で実行される攻撃の種類の割合



政府機関の場合、70％以上がパストラバーサル攻撃であり、その助けにより、攻撃者はファイルシステムの現在のディレクトリを超えて、サーバー上のファイルにアクセスして機密情報を盗もうとしました。



パストラバーサル攻撃検出の例を以下に示します。 攻撃者は、サーバーのルートディレクトリに移動し、システムのユーザーアカウントのリストを含む/ etc / passwdファイルにアクセスすることを意図していました。







パストラバーサル攻撃の検出例



攻撃の約17％は、SQLステートメントを実装しようとする試みです。 小さな部分（約8％）は、公共サービスポータルのユーザーを対象としたクロスサイトスクリプティング攻撃で構成されています。 攻撃者は、2％のケースでOSコマンドを実行しようとしました。



オンラインストア攻撃の4分の3近くがパストラバーサル攻撃の原因となっています。 攻撃者は、公共サービスを提供するポータルと同様に、ファイルシステムの現在のディレクトリを越えようと試みました。 かなりの割合（14％）がサービス拒否攻撃です。 オンラインストアにとって、Webアプリケーションのアクセシビリティの脅威は重要です。 ユーザーに対する攻撃（「クロスサイトスクリプティング」および「クロスサイトリクエストフォージェリ」）は4％です。 4％の場合、SQLステートメントの実装も発生します。



金融セクターでは、全体の約65％がシステムユーザーを対象とした「クロスサイトスクリプティング」および「クロスサイトリクエストフォージェリ」攻撃でした。 このような攻撃は、金融業界で広く普及しており、Cookieの値とユーザーの資格情報を（フィッシングを使用して）盗み出し、正当なユーザーに代わってアクションを実行できるため、特別な危険をもたらします。



この図は、「クロスサイトスクリプティング」攻撃を識別する例を示しています。 攻撃者は、この攻撃に対するWebアプリケーションの脆弱性を確認するためにCookie値を表示しようとしました。







クロスサイトスクリプティング攻撃検出の例



攻撃者は、パストラバーサル攻撃（全体の15％）とSQLステートメントの実装（全体の7％）を使用して、機密情報にアクセスしようとしました。 「任意のファイルをダウンロードする」攻撃の割合は7％でした。 このような攻撃は、OSコマンドの実行にアクセスするためによく使用されますが、OSコマンドの直接実行は3％のケースで記録されました。 一般に、攻撃の性質と複雑さは、検討中の他の業界と比較して、攻撃者の高度な技術トレーニングを示しています。



IT部門では、報告された攻撃の半分以上がSQLステートメントの実装の試みです。 パストラバーサル攻撃も存在します（全体の20％）。 さらに、16％はOSコマンドを実行しようとする試みであり、IT企業のWebアプリケーションに対する攻撃の12％はシステムユーザーを標的としています。



輸送会社のWebアプリケーションの場合、「SQLステートメントインジェクション」攻撃の数は50％を超え、約38％は情報漏洩、6％はOSコマンドの実行です。



教育分野では、手動攻撃の約70％が「SQLステートメントインジェクション」でした。 多くの場合、この攻撃は非常に簡単に実行でき、ユーザーの個人アカウントまたはデータベースのコンテンツにアクセスするために使用できます。 攻撃の約30％は、「情報漏えい」脆弱性の悪用であり、攻撃者が機密データを取得したり、システムに関する追加情報を入手したりする可能性があります。



図では、SQLステートメントの導入を検出する例を見ることができます;攻撃者はid GETパラメーターにデータベースクエリを入力して、脆弱性の悪用を確認しました。







SQLインジェクション攻撃検出の例



産業用エンタープライズアプリケーションに対する攻撃の3分の2近くがサービス拒否（DDoS）攻撃でした。 次の図は、DDoSを含む3つの攻撃チェーンを検出する例を示しています。 PT AFファイアウォールは、時間間隔が空いているが単一の攻撃の一部でもあるイベント間の相関を識別することにより、このようなチェーンを自動的に構築します。







DDoSを含む関連イベントを検出する例

攻撃元

攻撃のソースの分析は、パイロットプロジェクトに参加したロシアのシステムに対してのみ実施されました。 記録された攻撃の最大数はロシア語圏の国々から来ており、ロシアとウクライナが第一位です。 オランダと米国から発信された攻撃の割合は非常に高いです。これらの国にはプロキシサーバーサービスを提供するプロバイダーが多数存在するためです。







業界別の外部攻撃源



ロシアの組織に対する外部攻撃のソースは、業界によって異なります。 政府機関に対する攻撃のほとんどはロシアのIPアドレスから実行され、約3分の1はウクライナのプロバイダーに属するIPアドレスから実行されます。6％の場合、送信元はオランダです。



ほぼ等しいシェア（合計の約4分の1）のオンラインストアに対する攻撃のソースは、ロシアとウクライナです。 攻撃の3分の1以上はオランダのIPアドレスを通過します。



上記で示したように、教育部門への攻撃では、脆弱性についてWebアプリケーションをスキャンするために公共サービスとユーティリティが広く使用されています。 このようなソフトウェアは、攻撃元の実際のIPアドレスを隠すために、主に米国にあるサーバーを使用します。 攻撃の5番目はロシアのIPアドレスからのものです。



興味深いことに、大学のWebアプリケーションに対する攻撃の3分の1以上は、内部侵入者（教育部門で平均8％）であることに注意してください。 おそらく、これらは教育機関の無線ネットワークへのアクセスと、教室内のローカルネットワークへのアクセスを持つ学生です。







外部と内部の違反者の割合



金融セクターでは、攻撃の約10％が内部の侵入者によるものです。 場合によっては、防御メカニズムをテストするシステム管理者が侵入者になる可能性もあります。

おわりに

PT AFパイロットプロジェクトの結果に基づいて、攻撃者によって実行される攻撃のほとんどは、実行およびWAFタイプのセキュリティ機器による検出の両方で非常に単純であると結論付けることができます。



同時に、2016年の後半には、主にウクライナとトルコのIPアドレスからのWebリソースに対する攻撃の数が大幅に増加しました。 計画されたサイバー攻撃に関する連邦保安局の報告を考慮に入れて、ロシアの企業、特に金融機関は、重要なコンポーネントを保護し、使用する保護具の有効性を検証するために、事前に適切な措置を取ることをお勧めします。



単純な攻撃は多数ありますが、現代の攻撃者の技術的トレーニングのレベルにより、さまざまな時点で発生し、一見相互に関連していない多くのアクションを必要とする高レベルの攻撃を実装できることも考慮に入れる必要があります。 長期的な標的型攻撃の検出やインシデントの調査など、こうした攻撃の連鎖を特定するには、相関分析ツールを使用する必要があります。



調査の完全版はこちらから入手できます 。



著者 ：エカテリーナ・キリュシェワ、エフゲニー・グネディン

PS 4月27日（木） 14:00に、 Positive TechnologiesのシニアエキスパートVsevolod Petrovが無料のウェビナーを開催し、その間にハッカーがWebアプリケーションに対する攻撃を成功させた理由と、これを防ぐ方法について説明します。



さらに、従来の境界セキュリティツールを強化し、あらゆる面でセキュリティを提供するのに役立つPTアプリケーションファイアウォールのアプリケーションレベルのファイアウォールの技術的能力について説明します。



ウェビナーへの参加は無料です。www.ptsecurity.com/ ru-ru / research / webinar / 226999 /で登録できます。