ワーム「Conficker」、拡散にセキュリティ検証ツール「Metasploit」のペイロードを流用

W32/Conficker」は、MS08-067の脆弱性で感染する他に、外部メディアで感染する機能を持っているため、脆弱性を修正しても感染する危険のあるワームです。セキュリティ検証ツール「Metasploit Framework」のモジュール「ms08_067_netapi」を流用して拡散を行う性質もあり、注意が必要です。

以下は、ワームから送信されたトラフィックパケットのスクリーンショットです。

上記の画像から明らかな通り、このパケットにはms08_067_netapi.rbの「Rex::Text.rand_text_alpha」から生成されたと思われるランダムな英数字列があります。赤枠で囲んだデータのバイト順を変えたところ、「0x00020408」「0x6f8917c2」「0x6f88f807」という三つのアドレスが得られました。以下に示す通り,これらはms08_067_netapi.rbのエクスプロイトにおける内部ターゲットです。

# Metasploit's NX bypass for XP SP2/SP3
[ 'Windows XP SP3 English (NX)',
{
'Ret'       => 0x6f88f807,
'DisableNX' => 0x6f8917c2,
'Scratch'   => 0x00020408
}
], # JMP ESI ACGENRAL.DLL, NX/NX BYPASS ACGENRAL.DLL

metasploitの最新エクスプロイトは、複数の言語をターゲットとしています。英語、アラビア語、チェコ語、デンマーク語、ドイツ語、ギリシャ語、スペイン語、フィンランド語、フランス語、ヘブライ語、日本語、中国語などです。metasploitのエクスプロイトモジュールであるms08_067_netapiは、Windowsのバージョン情報、サービスパック情報、ターゲットOSの言語情報を検出する「smb_fingerprint()」関数も備えています。こうした機能のおかげで、Confickerワームはプログラミングが大幅に簡易化され、非常に大きな被害を与えるられるようになります。metasploitの同モジュールをベースにコードを作成すると、ウイルス/ワームのプログラマーは、ダウンロードと感染を自動化する関数を実装するだけで済みます。この作業はエクスプロイトの基本知識と、ある程度のプログラミングスキルを持つプログラマーであれば可能だと思われます。このトラフィックキャプチャをさらに分析したところ、このワームにはOSバージョン情報とサービスパック情報を検出する関数のみが組み込まれていました。

このマルウェアがOSバージョン情報とサービスパック情報を取得する際にやり取りしたパケットの一部を以下に示します。

SMBセッション設定要求を送ることで、ターゲットマシンのOS情報を取得することができます。

Confickerワームでは「\SRVSVC」と名付けたパイプにアクセスし、サービスパックのレベルを判断しています。これは、metasploitのsmb_fingerprint()関数の方法とよく似ています。

if (os == 'Windows XP' and sp.length == 0)
# SRVSVC was blocked in SP2
begin
smb_create("\\SRVSVC")
sp = 'Service Pack 0 / 1'
rescue ::Rex::Proto::SMB::Exceptions::ErrorCode => e
if (e.error_code == 0xc0000022)
sp = 'Service Pack 2+'
end
end
end

今回の例では、ワームの作者は、オープンソースツールを悪用して、作業を簡易化していました。

マシンに修正パッチを当てていないのであれば、今すぐMS08-067の修正パッチ適用をお願いします。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速