【セッションレポート】デモが凄かった「Zombie Web – 倒れないWebシステム~AWSでAuto-Defense~」#cmdevio2015A

【セッションレポート】デモが凄かった「Zombie Web – 倒れないWebシステム~AWSでAuto-Defense~」#cmdevio2015A

Clock Icon2015.04.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちはコカコーラ好きな梶です。

先日、DevelpersIO 2015のAトラックのトレンドマイクロ様のセッションを少しですがサポートさせて頂きましたので、そのスライドと内容についてご紹介します。

ご参加頂いた皆様、ありがとうございました。

スライド

DevIO_ZonbieWeb-slide

セッションの概要

トレンドマイクロのソリューション、オープンソースソフトウェア、AWSのサービスを組み合わせで攻撃に対して自動防御する。「倒れないWebサイト」の例をご紹介いただきました。

資料のみでは伝わりにくい内容をレポートとしてご紹介します。

Webサイトの改ざん件数(3ページ)

JPCERTからのデータ https://www.jpcert.or.jp/pr/2014/pr140003.html 2013年はApache Struts、Wordpressなどの脆弱性で改ざんが相次いだ。

Webサイトの改ざんについて(4ページ)

2015年はみんな大好きWordpress。利用者が好きなので、ハッカーも大好き。

WordPressが攻撃されるケースは?(6ページ)

WordPressそのものが悪いわけでは無い

  • 管理者サイトへの不正ログイン
    • コンテンツベンダーや編集者がいろいろなところからアクセスするため、IPアドレスで制御しにくい。
  • プラグインの脆弱性を悪用
    • インシデントの被害ケースが多い。

改ざん後の流れ・しくみ(28ページ)

改竄されてしまったサイトへ閲覧者が見に行くと、iframeが埋め込まれるため、バックエンドで不正なサイトを閲覧させられる。 その不正サイトへアクセスさせることにより、ウィルスを感染させる。 ウィルスを感染させる目的は、オンラインバンキングやクレジットカード情報を取得し不正送金る。

対応のフロー(34ページ〜43ページ)

  • 「3.原因と影響度を調査」
    • お客様より依頼があり、日原さんが駆けつけて調査開始。
  • 「4.調査に必要な情報が足りない。」
    • ほとんど改竄されたお客様で、ログ保存期間がデフォルトのままで短かったり、アプリケーションのログが無い、ファイルタイムスタンプの日付が古く、いつから改竄されたか不明のため、OSとアプリを作り直し。
  • 復旧までに時間がかかる
  • 上記までが「Zombie Web」の前振り

改ざんのデモ(48ページ)

サンプルWebサイト

前提条件として、バックドアが仕掛けられており、リモートから操作される状態 DevIO_ZonbieWeb-48-1

バックドアからの画面

php実行ファイルにアクセスすると対象サーバへログインし、webshellによるバックドアの操作デモをされていました。 サーバ情報なども、見えていてコワイ。 DevIO_ZonbieWeb-48-2-webshell

wgetで画像ファイル上書きし、改竄。 DevIO_ZonbieWeb-48-3-kaizan

DeepSecurity 検知(49ページ)

wgetで改ざんされたことをDeepSecurityの変更監視を使用し、Syslogへ出力。 DevIO_ZonbieWeb-49-1 DevIO_ZonbieWeb-49-2

Syslog検知から、インスタンス破棄(50ページ〜51ページ)

Syslogで該当イベントを検知したら、ログ監視でELBのインスタンスのヘルスチェック用のHTMLファイルを書き換える ELBのヘルスチェックがFailし、ELBが切り離されTerminate(破棄)される DevIO_ZonbieWeb-50-1

メール通知 DevIO_ZonbieWeb-51-1

AWS AutoScaleで指定したインスタンス台数へ自動復旧(54ページ)

AMIイメージ作成時に、あらかじめDeepSecurity Agentがインストールされている状態にしておくことがポイント。

AWS側のAutoScalingの動作画面

DevIO_ZonbieWeb-51-2

新インスタンスがDeepSecurity側へ追加された

DevIO_ZonbieWeb-54-1

このシステムの課題

復活したインスタンスが同一の脆弱性をもっているため感染するのではないか? 対策としてApacheのアクセスログから、不正アクセスの送信元IPアドレスを検知してNetwork ACLへ設定し自動的に遮断するよう試しているがまた上手くできていない。 上手くできればさらに効果的なシステムになる。そして、ビジネス損失を減らせると考えている。

まとめ

このシステムで、「何がやられたのか」の判断が重要 ・バックドア検知 ・ファイル改竄検知 etc ウィルス検知だけでは、攻撃者は検知できないことを確認して仕掛ける場合がある。 ファイル改竄検知などを併用して複数監視する多層防御が重要。 DeepSecurityはAll in One。

トレンドマイクロ様では共同PoCを行っていただける方を募集中(65ページ)

トレンドマイクロ様では、今後セキュリティも含めた、楽な運用が求められているので、共同PoCを募集中。 ご興味のあるかたは以下のメールアドレスへご連絡ください。(画像になってますのでご注意ください。)

DevIO_ZonbieWeb-65-1

感想

AWSの自動化をスケールアウトや障害対応だけでなく、セキュリティとの組み合わせたアイディアがとても面白かったです。 このようなシステムが実用化してセキュリティ運用も自動化が進み、運用が楽になる日が近いと感じました。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.