share facebook facebook twitter menu hatena pocket slack

2019.10.15 TUE

【DSルール解説】1005402 – Identified Suspicious User Agent In HTTP Requ…

稲田 一樹

WRITTEN BY 稲田 一樹

■ルール名
1005402 – Identified Suspicious User Agent In HTTP Request

 
■ルールの説明

これは、WebサーバーまたはWebアプリケーションのスキャンと攻撃に使用されるHTTP要求の疑わしいユーザーエージェントヘッダーを識別するヒューリスティックベースのルールです。

注:追加のユーザーエージェントとイベントのアラート頻度を構成するための構成オプションが提供されています。

 
■脆弱性

ルール上の説明は以下の通り。

※以下ではWordPressと書いてますが、どちらかいうと特定のUser Agentを拒否するルール。デフォルトでは詳細情報記載のものが対象となります。

WordPressは、不特定のマルウェアによるブルートフォース攻撃を受けやすい傾向があります。

 
■詳細情報

ルール上の詳細情報では以下のように説明

このDPIルールは、次のユーザーエージェント文字列で着信要求をブロックします。
これらのユーザーエージェントは、さまざまなWebスキャナー、脆弱性スキャナー、または悪意のあるボットによって使用されます。
これらのユーザーエージェント文字列を含むHTTP要求は、Webサーバーでの攻撃またはスキャン試行と見なされます。

Havij, dirbuster, SQLninja, Zeus, HTTrack,
JOC Web Spider, |3C|img, |3C|script, DBrowse,
Digger, WinHttp.WinHttpRequest.5, masscan/,
Sucuri Integrity Monitor/, NESSUS::, ScanAlert;,
w3af.sourceforge.net, Netsparker, ZmEu,
SiteLockSpider, Jorgee, WebCopier

 
■ルールにて設定できること。

Event Frequency:
Alert always
 →アラートを常に鳴らす。

Alert in every {指定秒数} seconds
 →指定秒数毎にアラート鳴らす。

nter suspicious User Agent string to be blocked (one string per line):
For e.g. “MSIE” to block web client traffic from Microsoft Internet Explorer

 →指定したUser Agentを検知することができる。

  部分一致でもできます。

※↑ではblockedで書いてますが、ルール自体の動作モードに準じるので検知と書いてます。

 
■推奨設定の検索対象か否か
非対応
必要に応じてユーザサイドで手動で適用する必要があります。

 
【芋的見解】

このルールは、HTTPリクエストヘッダ上のUser Agentにかかれている内容をチェックします。

 
使い方の例ですが、

マイナーなところのCrawlerのリクエストが邪魔な場合は、

このルール自体の動作モードを防御モードにしたうえで、

そのCrawlerのUser Agentをリストに加えDSで遮断してしまうのもあり。

 
あとは、OpenVASなどOSSのスキャンツールの簡易的な対策として、

リストに追加するのも一つです。

とはいえ、

攻撃することを前提にしたスキャンについては、ルールで対象のスキャンツールのUser Agentを検知するように設定したとしても、クライアント側で簡単に変更可能なものになりことから一時対処としては、一定の効果は見込めますが簡単に変更可能な情報ですので、過度な期待は禁物です。

検索サイト系のCrawlerであれば、User Agentの名前はそこまで変わらないと考えますので、こちらは有効的かと考えます。

元記事はこちら

【DSルール解説】1005402 – Identified Suspicious User Agent In HTTP Request

稲田 一樹

稲田 一樹

AWSやlinux初心者向けのブログを更新してます。中の人は、美味しいもの好きなので美味いものあったら教えてください!

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。