リバースシェルの概要
リバースシェルを使用すると、攻撃者はファイアウォールやその他のセキュリティメカニズムをバイパスして、ターゲットシステムへのポートを開くことができます。
攻撃者が標的のシステムでコード実行の脆弱性を悪用すると、コマンドアンドコントロール(C&C)サーバーへのリバースシェルセッションを開始するスクリプトを実行します。これにより、侵害されたシステムへのリモートアクセスが可能になります。攻撃者は、必要なコマンドを実行し、システムからその出力を取得できます。SRXシリーズファイアウォールは、短時間にわたるクライアントとサーバー間のトラフィックパターンを分析し、リバースシェルセッションを特定します。その後、設定された是正措置が取られます。
逆シェル検出の利点
シェル攻撃を検出し、潜在的なデータ盗難を防ぐのに役立ちます。
[リバース シェル] ページにアクセスするには、[ リバース シェルの監視>] に移動します。
このページには、リバースシェル通信の一部であった宛先 IP アドレス、宛先ポート、送信元 IP アドレス、および送信元ポートのリストが表示されます。 図1を参照してください。
| フィールド | 定義 |
|---|---|
| 宛先 IP | 攻撃者の C&C サーバーの IP アドレス。 |
| 宛先ポート | 攻撃者の C&C サーバーのポート。 |
| 送信元 IP | リバースシェルセッションでのターゲットシステムの IP アドレス。 |
| 送信元ポート | 攻撃者がリバースシェル通信を試みるために使用したポート。 |
| タイムスタンプ | リバースシェルセッションが開始された日時。 |
| TCPセッションID | 攻撃者の C&C サーバーに割り当てられたセッション ID。 |
| 脅威レベル | 分析に基づく攻撃者の C&C サーバーの脅威レベル。 |
| アクション | リバースシェルセッションで実行されるアクション:許可またはブロック。 |
| 着信パケット(#) | ターゲット・システムへの着信パケットの数。 |
| 平均サイズ | 着信パケットの平均サイズ。 |
| 発信パケット(#) | ターゲット・システムからの送信パケットの数。 |
| 平均サイズ | 発信パケットの平均サイズ。 |
悪意のあるものでない場合は、宛先 IP アドレスを選択して許可リストに追加できます。宛先 IP アドレスを許可リストに追加するには:
-
[監視] > [リバース シェル] を選択します。
[リバース シェル] ページが表示されます。
-
許可リストに追加する宛先 IP アドレスを選択し、[ 許可リストに追加] をクリックします。
選択の確認を求めるポップアップが表示されます。
-
[ はい] をクリックします。
選択した宛先 IP アドレスが許可リストに追加されます。
SRXシリーズファイアウォールでのリバースシェル検出の設定については、 Juniper Advanced Threat Prevention管理者ガイドを参照してください。