現在位置: ホーム / ブログ / ShellShock に見る最新攻撃動向

ShellShock に見る最新攻撃動向

NECOMA Project による ShellShock を利用した Web サーバへの攻撃計測と分析速報です。

NECOMA Project の関谷です。

 NECOMA Project では、最近大きな話題となった、bash の vulnerability を狙った攻撃 (ShellShock) に関する攻撃動向をいち早く計測し、それを解析しました。図1のグラフは、ある組織に対して行われたWeb サーバの CGI 等を利用した、外部からの攻撃回数の推移です。

図1 : ShellShock を利用した攻撃件数の推移


 ShellShock 問題が公的に明らかになった9月下旬から攻撃数は増加し始め、10月の中旬にピークを迎えています。その後、対策が進んだこともあり、攻撃数は急激に減少しています。また、10月10日前後に一旦落ち着いたかに見えた攻撃が、再度急激に増加しているのも特徴的な傾向です。 

 この攻撃の中には、単に未対策の Web サーバを探るための攻撃も含まれています。そこで、ShellShock を利用した攻撃と思われる通信の内訳を、図2にまとめてみました。

 主な攻撃は、未対策のサーバを見つけるために、単に echo や ls コマンドの実行を試みる通信が、全体の約 90%でした。しかし、約9% の通信が、実際に wget や curl コマンドを用いてシェルスクリプトや python のスクリプトをダウンロードし、実行した後にダウンロードしたファイルを消去するという、Bot の一部として動作させるという攻撃でした。

図2 : ShellShock 攻撃の内訳

 NECOMA Project では、これからも最新の vulnerability を利用した攻撃の検知にいち早く対応し、防御を行うための分析を行っていきます。



タグ: