Internet Watch logo
記事検索
最新ニュース

「MS08-067」攻撃の被害続く、トレンドマイクロが詳細分析


12月23日時点の「WORM_DOWNAD.A」感染状況(トレンドマイクロ公式ブログより転載)
 トレンドマイクロは24日、「MS08-067」の脆弱性を悪用するネットワーク型ウイルス「WORM_DOWNAD」の感染被害が広まっているとして注意喚起した。「WORM_DOWNAD」は、11月21日にスペインのセキュリティ組織により検体が報告された。日本国内では11月25日に初めて報告を受け、現在も局地的に大規模感染が報告されているという。

 「MS08-067」は、WindowsのServerサービスの脆弱性。特別な細工をした通信パケットをWindowsマシンに送られることで、任意のコードを実行させられる危険がある。10月中旬にマイクロソフトが限定的な攻撃を確認したため、11月の月例パッチを待たずに、10月24日に緊急の修正パッチをリリースしている。

 トレンドマイクロによれば、「WORM_DOWNAD」については、脆弱性が未修正の一部のPCで予期せぬ再起動が繰り返されるほか、正規プロセス(svchost.exe -k netsvcs)により起動されたサービスが一斉に停止したり、意図せぬTCP 445番ポートへの通信によって帯域が圧迫されるなどの報告が寄せられているという。また、攻撃者の意図通り攻撃が成立した場合は、表層的な症状が現れない場合もあるとしている。

 初期の感染経路としては、他のウイルスと同様に、スパムメールの添付ファイル、悪意のあるWebサイト、利用者自身の手によるインストールなどの可能性が高いという。また、感染したPCをHTTP(Web)サーバーとすることで、ネットワークを介してさらに感染を拡大させる2種類のワーム活動が特徴であるとしている。

 1つ目のワーム活動としては、「Windows Server Service RPC」の脆弱性を突いた侵入だ。具体的には、細工されたRPCリクエストが感染対象となるPCのTCP 445番ポートへ送信されることで、「WORM_DOWNAD」が侵入。対象PCが「MS08-067」の脆弱性を修正していない場合、ペイロード(発病機能)が発症してシェルコード(悪意ある行為を行うコード)が動作するという。

 なお、「WORM_DOWNAD」は、感染対象となるPCを探索するために、攻撃元となるPCのネットワークアドレスを起点として、自らのIPアドレスに対して数値を1つずつ加算。算出されたIPアドレスに対して、攻撃を仕掛けることが特定されているという。


「WORM_DOWNAD.A」による「Windows Server Service RPC」の脆弱性を衝いた侵入(トレンドマイクロ公式ブログより転載)

 2つ目のワーム活動については、シェルコードの起動により行われる。シェルコードの起動により、感染したPCがHTTPサーバーとなるとともに、感染源である攻撃元のPCに対してHTTPリクエストを発行。一方、攻撃元は感染したPCからのHTTPリクエストに対して、「WORM_DOWNAD.A」のコピーであるDLLファイル「x」を送信する。

 なお、HTTPレスポンス返答時のヘッダは、「Content-Type:image/jpeg」と指定されていると指摘。この点についてトレンドマイクロは、「実行ファイルの通信をコンテンツフィルタリング製品によって禁じられている環境に対する回避策」と推測している。


シェルコード起動により感染対象コンピュータをHTTPサーバ変換(トレンドマイクロ公式ブログより転載)

 「WORM_DOWNAD」のワーム活動についてトレンドマイクロは、「閉じられたネットワークのみならず、正規のインターネットサービスを悪用している」と説明。具体的にはまず、感染したPCが自身のIPアドレスを参照できるサイトへアクセスしてIPアドレスを入手。次いで、検索サイトにアクセスして入手した日時情報をもとにホスト名を決定し、感染したPCをHTTPサーバーとして機能させている。IPアドレスと日時情報を取得したサイトは、いずれも正規サイトだという。

 トレンドマイクロでは、「WORM_DOWNAD」にはワーム活動のほかにも、不正なWebサイトを介して新たな脅威を呼び込もうとするダウンローダー機能が組み込まれていると説明。攻撃者は不正なWebサイトに様々なウイルスを仕掛けることで、さらなる攻撃を計画していた可能性も考えられるとしている。

 「MS08-067」を悪用する攻撃の対策についてトレンドマイクロでは、セキュリティ更新プログラムの適用を呼びかけている。今回悪用されている「MS08-067」だけでなく、導入している機器やソフトウェアについても、セキュリティ更新プログラムが公開されていないかどうかを確認することが重要だとしている。


「WORM_DOWNAD」が正規インターネットサービスを悪用するイメージ(トレンドマイクロ公式ブログより転載)

関連情報

URL
  Trend Micro Security Blogの該当記事
  http://blog.trendmicro.co.jp/archives/2383

関連記事
「MS08-067」攻撃を直感的に、トレンドマイクロが攻撃ツール確認(2008/11/07)
企業狙った「Blaster」を彷彿させる攻撃、「MS08-067」脆弱性で(2008/12/18)


( 増田 覚 )
2008/12/25 18:15

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.