■トレースソース
・IDS
・パケット
...D CKFDENECFDEFFCFGEFFCCACACACACACA. ELEBEOFKEJCACACACACACACACACACAAA..........SMBr.....S......................b..PC NETWORK PROGRAM 1.0..LANMAN1.0..Windows for Workgroups 3.1a..LM1.2X002..LANMAN2.1..NT LM 0.12....U.SMBr.....S.........................2....A...............w\*.!........(...c.H.H$[F..Y.....SMBs.........................@.......A2.......(.........q.NTLMSSP..................................W.i.n.d.o.w.s. .2.0.0.0. .2.1.9.5...W.i.n.d.o.w.s. .2.0.0.0. .5...0........W.SMBs.........................@....W.....,.NTLMSSP.........8..........(................V...........T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X......W.i.n.d.o.w.s
. .5...0...W.i.n.d.o.w.s. .2.0.0.0. .L.A.N. .M.a.n.a.g.e.r.....<.SMBs..............................<..A2...................NTLMSSP.........x...............H.......T...
.
.n.......................M.I.N.O.R.U.A.d.m.i.n.i.s.t.r.a.t.o.r.K.A.N.Z.I..&...3..................r#.9...FT{."...S.2..u}...Pa.....c5.....)-W.i.n.d.o.w.s. .2.0.0.0. .2.1.9.5...W.i.n.d.o.w.s. .2.0.0.0. .5...0........#.SMBsm................................'.SMBt.....................................#.SMBt..[.............................
■トレースソース
ハニーネット環境にある。ISS社製のProvenitaによる検知
■シグネチャの説明
SMB_Mass_Login:http://xforce.iss.net/xforce/xfdb/22451
■攻撃の説明
"KANZI"という韓国のクライアントからPort139への大量アクセスを検知しております。
検知内容から、以下のアカウント名を使用してネットワーク共有への接続を確認しました。
Administrator、Guest、TsInternetUser、SQLDebugger・TsInternetUser アカウントとは?
ターミナル サービス インターネット コネクタ ライセンスによって使用されます。インターネット コネクタ ライセンスが有効な場合、Windows 2000 ベースのサーバーは 1 台で 200 のユーザーから匿名接続のみを許可します。ターミナル サービスのクライアントでは、ログオンのためのダイアログ ボックスが表示されず、クライアントは自動的に TsInternetUser アカウントでログオンされます。
■攻撃のしくみ
■相関分析
■意図的な攻撃の証拠
ハニーネット環境であり、公開されているIPアドレスを利用して業務など行っていない為、
意図的な攻撃であると判断します。
■重要度
ハニーネット環境の為、重要度低
■防御策の提案
・TsInternetUserユーザの無効化 ※インターネットコネクタライセンスを使用していない場合
・「管理ツール」→「コンピュータの管理」
・「ローカルユーザとグループ」→「ユーザ」
・TsInternetUserのプロパティを開いて「アカウントを無効にする」にチェックをつける
■選択問題
■実証コード
■参考資料