Criminal IPで確認した中国のHTTP File Server に隠されている新たなマルウェアサイト

NAS セキュリティの問題としてキューナップ(QNAP)シノロジー(Synology)などがよく論ぜられています。CVEで公開される脆弱性以外にもインターネットで無防備で漏洩され、簡単な総当たり攻撃によって手軽に NAS の重要資料が流出されています。

最近ではこのような常用 NAS 製品以外にも、オープンソースやフリーウェアで使用されている簡易 NAS にもたくさんの問題が指摘されています。代表的な例として HFS HTTP File Server Files があります。何度のクリックで設置され、ファイルをドラッグするだけで、様々なファイルを簡単にアップロードでき、外部でも URL で容易にファイルを共有できるなど、設置と利用がとても簡単であるため、個人は無論、中小規模の企業でもよく使う便利な NAS として知られています。下のイメージはサーバーを起動した画像です。

HFS HTTP File Server Files の起動画像

 

世界中に漏洩された約1500台の HFSファイルサーバー


しかし、基本的な認証でもしかけてある Synology や Qnap とは違って、この HFS サーバーの重大な問題は、デフォルト状態では ID/PW の認証さえないまま使用される場合がたくさんあるということです。すると、 外部の誰でもこのファイルサーバー内にあるすべてのファイルへ簡単にアクセス・ダウンロードでき、このような状態はデータの流出へつながられます。下の画像は Criminal IP HFS port:8080 検索して世界中に漏洩された HFS サーバーを照会したページです。このテキストが書かれた時点を基点として約1500台のサーバーが外部に漏洩されていることを確認できます。

Criminal IP の “HFS Port:8080” 検索結果、世界中に漏洩された HFS サーバー


何台のサーバーを確認してみたところ、以下のように、Windows 正規品ファイルなどが漏洩されたまま運営されていることを見つけ、mkv ファイルの動画がそのままアップロードされていることも発見できました。
Criminal IP で検索された漏洩されている HFS file server

Criminal IP で検索された漏洩されているHFS file server


マルウェア配布の拠点で悪用される漏洩された HFS サーバー


このような HFS サーバーの漏洩イシューよりも深刻なことは、個人や中小規模の企業が過ちで漏洩したものがマルウェア配布の拠点として使用される可能性があるということです。特定のサーバーをハッキングし、HFS サーバーを起動してそこでマルウェアをアップロードしておくと、ハッキングされた他のサイトへアクセスした際、この HFS サーバーでリダイレクトし、マルウェアに感染させるか、悪用のメールに含まれている悪用リンクをクリックした際、ここに含まれた HFS サーバーのマルウェアを実行させることもできます。

ExploitwareLabs によると、中国の HFS サーバーで avp.exe というマルウェアと api.aspx というウェブシェル(Webshell)がアップロードされていることが確認されたとのことです。このファイルは VirusTotal で9のワクチンで診断されているが、韓国を含むいくつかの国では未だに全然検知されていないことが分かります。(ちなみに、このような内容が知られた後、中国で位置されているマルウェアの配布 HFS サーバーは現在、すべての閉鎖されたか、ID/PW 認証がしかける状態に変更されました。)
中国の HFS サーバーで発見された avp.exe というマルウェアと
api.aspx というウェブシェル(Webshell)がアップロードされている

VirusTotal で診断した api.aspx Webshell ファイル


Criminal IP で漏洩された Http File Server を検索する方法


8080 ポート以外、他のポートを使用する HFS サーバーも以下のように、Criminal IP のアセット検索機能の favicon フィルターを活用して見つけ出せます。HFS サーバーで発見された favicon のマウスオーバーポップアップをクリックしたり、favicon: 7ea0af85 を直接検索ボックスに入力したりすることで多様な形の HFS サーバーを見つけられます。
Criminal IP で favicon 検索機能で見つける HFS サーバー

Criminal IP で favicon 検索機能で見つける HFS サーバー


中国 HFS サーバーのみを検索したい場合は、country:CN を含むと中国のサーバーのみを検索できます。

favicon: 7ea0af85 country:CN

次のように、フィルターを応用して様々な方法で漏洩された HFS サーバーを検索できます。

HFS port:8080 favicon: 7ea0af85 country:CN
HFS port:8080 country:CN

その他の国も検索できます。


使用中のファイルサーバーのサイバー脅威点検


このような問題は単に HFS サーバーに限定された問題ではありません。HFS サーバー以外にも、色々な製品の NAS やファイルサーバーが存在します。個人や企業は自分または、会社のファイルサーバーが認証を仕掛けず、外部に漏洩されているかを定期的に点検する必要があります。

このレポートはサイバー脅威インテリジェンス検索エンジン Criminal IP のデータに基づいて作成されました。今すぐ Criminal IP の無料ベータ版サービスのアカウントを作成すると、レポートに引用された検索結果を自ら確認でき、より膨大な脅威インテリジェンスを自由に検索できます。


参考サイト 

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

  • 1000 / 1000