NICTER観測統計 - 2021年1月~3月

はじめに

NICTER プロジェクトのダークネット観測網における2021年第1四半期(1~3月)の観測結果を公開します. なお,プロジェクトの公式サイトNICTER WEB でも,観測データの⼀部をリアルタイムで可視化したり,統計情報として公開したりしていますので,そちらもご参照ください.

2021年第1四半期の観測統計

総観測パケット数

表1に2020年各四半期と2021年第1四半期の総観測パケット数,総観測パケット数を観測IP アドレス数(約30万)で正規化した値を示します.2021年第1四半期の1IP アドレス当たりの総観測パケット数は前年の同四半期と同程度でした.

表1. 総観測パケット数の統計(四半期単位)

/posts/2021-03/quarterly_packets.png

日毎のパケット数とユニークホスト数の推移

図1にTCP・UDP パケットのそれぞれについて,日毎の観測パケット数,ユニークホスト数の推移を示します.1月13日頃に見られるTCP ホスト数のスパイクは,昨年12月に観測した事象1と同様に,送信元IP アドレスを詐称して送信されたと思われるSYN パケットによるものでした.3月中旬からのTCP パケット数の増加は,調査スキャナのスキャンによるものでした. 調査スキャンの詳細は,調査スキャナについて で説明します.UDP のグラフを見るとホスト数,パケット数共にやや増加傾向にあることが分かります.これは123/UDP(NTP サービス)などへの調査スキャンが増加したためと考えられます.123/UDP 宛てのスキャンの詳細は NTP サービス宛てのスキャンの増加 で説明します.

/posts/2021-03/daily_stats.png

図1. 2021年第1四半期の観測パケット数,ユニークホスト数の推移

Mirai の攻撃ホスト数の推移

Mirai(亜種によるものを含む)に関連する攻撃ホスト数2の日ごとの推移を,全ての送信元ホストについてを図2に,日本の送信元ホストについてを図3に示します.

Mirai に関連する攻撃ホスト数は全世界で概ね6万から12万程度で推移し,前四半期(最大34万)から比較すると落ち着いて推移しました.しかし,Mirai の亜種にはMirai の特徴を持たないパケットを送信するタイプが存在することも確認しており,一概に感染が収まっていると言えるわけではありません.期間中,インドと中国のホスト数が継続して高い値で推移した他,韓国,ギリシャ,アメリカ,エジプト,アルバニアでの増加が観測されました.

日本の2月中旬頃からみられるホスト数の増加については前四半期から引き続き国内のブロードバンドルータ製品への感染拡大によるもので,JPCERT/CC からも報告されています3.この事象の詳細についてはNICTER観測レポート2020の3.4をご参照ください.3月14日~15日頃のホスト数の増加は特定のインターネットサービスプロバイダでIP アドレスのつけ変わりが発生したことによる見かけ上の増加によるものでした.

/posts/2021-03/mirai_stats.png

図2. Mirai に関連する攻撃ホスト数の推移(全体,積み上げグラフ)

/posts/2021-03/mirai_jp_stats.png

図3. Mirai に関連する攻撃ホスト数の推移(日本,積み上げグラフ)

調査スキャナについて

表2に2020年の各四半期及び2021年第1四半期の調査スキャンIP アドレス数,スキャンパケット数,調査スキャナによるパケットが観測パケット全体に占める割合を示します.2021年第1四半期から,NICTER の大規模スキャナの判定基準4を満たしたIP アドレスに加えて,目的が明らかなスキャン組織のIP アドレスも調査スキャナと判定し5,統計値に反映しています.

図4に総観測パケットから調査目的のパケットを除いたパケット,調査スキャナによる調査目的のスキャンパケット(上位5か国とそれ以外)について,パケット数の推移を示した積み上げグラフを示します.総観測パケットから調査目的のスキャンパケットを除いたパケット数(図に茶色で示した面)がマルウェアやDDOS 攻撃の跳ね返り等によって送られたパケット数の実態値で,今四半期もおおむね落ち着いて推移しました.調査目的のスキャンは,送信元国によって常に一定のスキャンがおこなわれていたり,ある時期に集中的にスキャンがおこなわれていたりし,パケット数の増減が大きいことがわかります.また,3月になって全体的に調査スキャンが増加傾向にあります.

表2. 大規模スキャナのIP アドレス数とスキャンパケット数

/posts/2021-03/scanner_packet_ratio.png
/posts/2021-03/scanner_packet_graph.png

図4.大規模スキャナによるパケット数の日毎の推移(積み上げグラフ)

宛先ポート別パケット数

図5に3ヶ月間で観測されたすべてのパケット(TCP および UDP)を宛先ポート番号別に集計して,観測パケット数が多かった上位10位とその他の割合を示します.これらのポート番号・プロトコルに対応したサービスが我々の観測で⾒えた 2021 年第1 四半期で多く攻撃対象となったサービスと⾔えます.主にIoT 機器を狙ったスキャンと思われるポートを青,Windows 機器を狙ったスキャンと思われるポートをオレンジ,UDP ポート宛てのスキャンを黄色で示しています.

観測パケット数が最も多かったのは前四半期と同様に23/TCP(Telnet サービス)でしたが,割合は減少しており,(1)調査目的のスキャンパケットを含む統計で5.7%(前四半期6.9%),(2)調査目的のスキャンパケットを除く統計で12.6%(前四半期15.2%)でした.今四半期は123/UDP(NTP サービス)が2.4%(前四半期1.2%)と多く観測されました.この事象についての詳細は NTP サービス宛てのスキャンの増加 で説明します.また,52869/TCP が1.9%(前四半期0.5%)観測され, Mirai の攻撃ホスト数の推移 でも述べたブロードバンドルータ製品の内部で動作している UPnP サービスに存在する脆弱性6 を標的とした攻撃が活発でした.

/posts/2021-03/port_rank_packets.png

図5. 宛先ポート番号別の受信パケット数の割合(上位10ポート)

国別パケット数

図6に3ヶ月間で観測されたすべてのパケットを送信元の国別に集計して,観測パケット数が多かった上位10位とその割合を示します.(2)調査目的のスキャンの統計をみると,これまでオランダと判定されていたIP アドレスの割り当てがイギリスに変わったことで,イギリスからの調査スキャンが,13.6%(前四半期0.7%)に増加しました.また,イランからの調査スキャンの増加(前四半期は0.1%以下)も観測されました.(3)調査目的のスキャンパケットを除く統計では,前四半期はアメリカ,中国,オランダ,ロシアと続いていましたが,今四半期はアメリカ,中国,ロシア,イギリスの順で多く観測されました.こちらも,一部のオランダのIPアドレスの割り当て国がイギリスに変わったことが影響していると考えられます.

/posts/2021-03/country_rank.png

図6. 送信元の国別の受信パケット数の割合(上位10ヶ国)

2021年第1四半期に観測した事象について

Sysrv-hello Botnet の活動

3月になって,7001/TCP を含んだポートセットでスキャンするホスト数の増加を観測しました(図7).また,応答型のハニーポットではこれらのホストからの攻撃ペイロードも観測しました(表3).この攻撃ペイロードに含まれていたldr.sh(シェルスクリプト)を解析したところ,仮想通貨Monero のマイニングソフトウェアであるXMRig をインストールさせるものと分かりました.これはSysrv-hello Botnet によるもので,複数のセキュリティ調査機関から解析結果が報告されています7 8 9 10

Sysrv-hello Botnet は2020年12月頃から存在していたことが報告されており7,攻撃者はサーバの多数の既知の脆弱性を狙った攻撃を行ってボットネットを構築してきています.対象となるサーバはLinux とWindows です.国内での感染も確認しており,NICTER プロジェクトでは3月にJPCERT/CC に国内の感染ホストの情報を提供し,JPCERT/CC からサーバの管理者に注意喚起が行われました.4月20日以降は,感染サーバのWeb コンテンツにマルウェア(BrowserUpdate.exe)を埋め込み,Web アクセスするユーザのWindows 端末へと感染を広げようとする攻撃も追加されています11 12.サーバの管理者はマイニングソフトウェアがインストールされていないか,利用しているソフトウェアのアップデートがでていないか確認しておくことを推奨します.

/posts/2021-03/7001_scan.png

図7. 7001/TCP を含んだポートセット宛てスキャンの推移

表3. 7001/TCP を含んだポートセット宛て攻撃通信のペイロード

/posts/2021-03/7001portset_payload.png

NTP サービス宛てのスキャンの増加

2月15日頃から1日に観測する123/UDP(NTP サービス)宛てのスキャンホスト数がそれまでと比べて3倍以上に増加し,3月末には4,000ホストを超えました(図8).3月24日には警察庁からもNTP サーバを悪用したDDoS 攻撃対策に関する注意喚起が出されています13.DRDoS(Distributed Reflection Denial-of-Service)攻撃の観測システムAmpPot で観測したNTP リフレクション攻撃の検知件数の推移を図9に示します.12月中旬から2月上旬頃にNTP リフレクション攻撃の増加傾向が観測されましたが,3月以降は顕著な増加は見られていません.NTP サーバを不必要に外部に公開していないか,利用しているソフトウェアのアップデートがでていないか確認しておくことを推奨します.

/posts/2021-03/ntp_scan.png

図8. 123/UDP 宛てスキャンの推移

/posts/2021-03/ntp_ampmon.png

図9. NTP リフレクション攻撃の攻撃件数の推移

おわりに

本ブログでは,2021年第1四半期のダークネット観測網で観測したパケットの観測統計を紹介しました.調査スキャンを除くと大きな増減はなく推移しました.また,Sysrv-hello Botnet の活動の観測状況,NTP サービスへのスキャン及びNTP リフレクション攻撃の観測状況について紹介しました.


  1. NICTER解析チームのTweet (2020/12/18) ↩︎

  2. TCP ヘッダのシーケンス番号と宛先IPアドレスが同じで,送信元ポート番号が1024よりも大きいという特徴を持ったTCP SYN パケットを送信しているホストの数.ただし,この特徴を持たないTCP SYN パケットを送信するMirai 亜種も観測されている ↩︎

  3. JPCERT/CC, インターネット定点観測レポート(2021年 1~3月) (2021/4/20) ↩︎

  4. ある1日における1つのIP アドレスからのパケット(TCP SYNとUDP のみ)について,宛先ポート番号のユニーク数が30以上,総パケット数が 30 万パケット以上の場合に,このIP アドレスを大規模スキャナと判定する ↩︎

  5. ある調査機関・大学・組織で調査や研究を目的としたスキャンを行っていることがWeb サイトなどから明らかで,スキャン元のIP アドレスが公開されているか,PTR レコードなどで帰属が確認できた場合に,このIP アドレスを調査スキャナと判定する ↩︎

  6. CVE-2014-8361 NVD(2021/4/9更新) ↩︎

  7. Alibaba Cloud, 新型挖矿病毒Sysrv-hello处理最佳实践 (2021/2/1) ↩︎

  8. Qi’anxin Threat Intelligence Center, Sysrv-hello mining sample analysis (2021/3/22) ↩︎

  9. Juniper Threat Labs, Sysrv Botnet Expands and Gains Persistence (2021/4/8) ↩︎

  10. Lacework, Sysrv-Hello Expands Infrastructur (2021/4/22) ↩︎

  11. NICTER解析チームのTweet (2021/4/20) ↩︎

  12. Network Security Research Lab at 360, Threat Alert: New update from Sysrv-hello, now infecting victims‘ webpages to push malicious exe to end users (2021/4/29) ↩︎

  13. @police, NTPサーバを悪用したDDoS攻撃対策に関する注意喚起について (2021/3/24) ↩︎