令和5年度（春期）午後1問2の分析｜情報処理安全確保支援士

問題の要約

• 受付サーバからDBサーバとメールサーバに対するSSHでのログイン失敗によりアラートを受信した。
• FWのログを調査したところ、外部の攻撃者の不正アクセスによって受付サーバが侵害されたが、攻撃者によるDMZと工場LANとの間のファイルの送受信はないと推測した。
• 受付サーバの調査に着手し、工場LAN全体の侵害有無を調査した。
• 受付サーバにsrvという名称の不審なプロセスが稼働していた。
• srvは、C＆Cサーバからの指示を受け、ポートスキャンを行い、その結果を結果ファイルに記録するとともに、SSH又はFTPのポートがオープンしている場合、利用者IDとパスワードについて、辞書攻撃を行い、その結果を結果ファイルに記録し、C＆Cサーバにアップロードする。
• 攻撃者はC＆Cサーバとの接続に成功したことが判明し、受付サーバをネットワークから切断するよう指示した。
• 攻撃者が受付サーバで何か設定変更していないか調査したところ、DNSリクエストによりドメイン名△△△.comからTXTレコードのリソースデータを取得し、その内容をそのままコマンドとして実行するcronエントリーが仕掛けられおり、logdという不審なプロセスが稼働していたことが判明した。
• loadのファイルを受付サーバから取得して解析したところ、暗号資産マイニングの実行ファイルであることが分かった。
• Webアプリのログ調査から、受付サーバのWebアプリが使用しているライブラリに脆弱性が存在することが分かり、これが悪用されたと結論付けた。

主な論点

• FTP（パッシブモードとアクティブモード）
• FWのログ解析
• psコマンド
• netstatコマンド
• C＆Cサーバ
• バインドモードとコネクトモード
• DNSサーバのTXTレコード
• クリプトジャッキング

問題文

P8表1 FWのログを調査した。 FWでは、インターネットから受付サーバへの通信は443/TCPだけを許可しており、受付サーバからインターネットへの通信は443/TCPだけを許可している（P7）。

指摘点

・項番1-3（インターネット→受付サーバ）は、8080/TCP（HTTP代替ポート）のため拒否された。 ・項番1-233（DBサーバ→製造管理サーバ）は、21/TCP（FTP接続）が許可された。 ・項番1-234（DBサーバ→製造管理サーバ）は、ウエルノンポートでない通信であることから、1-233に続くデータコネクションが確立されたものと考えられる。この通信は、クライアントからサーバに対するもの（パッシブモード、設問1）である。 ・項番1-286（受付サーバ→製造管理サーバ）は、21/TCP（FTP接続）が許可された。 ・項番1-287（受付サーバ→製造管理サーバ）は、22/TCP（SSH接続）となっており、1-286に続くデータコネクションは確立したなかったものと考えれる。

問題文

P8 受付サーバのプロセスを調査するため、psコマンドの実行した。

指摘点

・項番2-3で、バインドモードにより受付サーバのポート番号8080に接続しようとしたが、表1項番1-3で通信が拒否された。 ・項番2-4で、コネクトモードにより受付サーバからa0.b0.30.d0のポート番号443に通信し、表1項番1-4で通信が成功した。 ・項番2-5で、192.168.0.1から192.168.255.254まで通信しており、ポートスキャンが行われたものと考えられる。 ・以上から、バインドモードによる接続が失敗した後、コネクトモードによる通信が成功し、受付サーバとC＆Cサーバが接続され、ポートスキャンが行われたことが分かる。

問題文

P9表3 受付サーバのネットワーク接続の状況を調査するため、netstatコマンドを実行した。

指摘点

・"LISTEN"は待ち受け状態、"ESTABLISHED"は通信が確立した状態、"SYN_SENT"は通信の開始要求（SYN）に対する応答（ACK）を受け取っていない状態である。 ・表2項番2-3で起動した表3項番3-3のポートへの通信（バインドモード）は、表1項番1-3で拒否され、"LISTEN"となっている（設問2(2)）。 ・表2項番2-4で開始された表3項番3-4の通信（コネクトモード）は、表1項番1-4で許可され、"ESTABLISHED"となっている（設問2(3)）。