[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:3079] Re: FYI:米国有数のセキュリティ企業が日本上陸
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:3079] Re: FYI:米国有数のセキュリティ企業が日本上陸
- From: Shoko ARAKI <shoko.araki@xxxxxxxxxxxxx>
- Date: Thu, 28 Feb 2002 17:45:54 +0900
荒木と申します。
In message <20020227232547.9B18.HAMAMOTO@xxxxxxxxxxx>
hama <hamamoto@xxxxxxxxxxx> wrote:
> ○ネットワークセキュリティセミナー
> http://www.nst-japan.com/events/index.html
> Mr. Arthur Wong, CEO and Founder, Security Focus.com
> Mr. Ryan Russell, Senior Threat Analyst, Security Focus.com
> 2002年2月27日(水)今日、開催。どなたか参加された方、いらっしゃるの
> でしょうか?
上記URLの演題がそのまま丁寧に行われました。
"6.「ワーム型ウィルス」のトレンドについて"
のトピックだけざっくり書きます。ご参考まで。
# 勘違いがあれば教えてください。
----
o Future Threats - Trends in Worm Techniques
- 感染ベクトルは多岐にわたる(Numerous Infection Vectors)
(例)Nimdaはメール,WebクライアントからWebサーバ,WebサーバからWebクライ
アント,SMB,バイナリのすり替え(virus)の5つ
- サーバからクライアントへのベクトル
(例)Nimdaは従来型のクライアントからサーバへの感染経路とは逆で,サーバか
らクライアントへ感染する
- 複数の脆弱性を利用するWindowsWormの増加
- 添付ファイルを実行しなくともメールのプレビューなどで感染するもの(Good
Times Worms)
- 脆弱性が発見されてから,それを利用するWormが出現するまでの期間が
ますます短縮される(Near 0-day worms)
(例)CodeRedは脆弱性発見から1ヶ月,X.cは1ヵ月半で出現
- 他のWorm等が残したバックドアを利用するもの(Leverage Previous Malcode)
(例)CodeRedIIのバックドアを利用したNimdaなど
- 感染サイトからWorm構成要素をダウンロードするもの
Central repository が無いWormはシステムをシャットダウンすればWormを停止
できるが,温床があるとダウンロードがあるとダウンロードできてしまう。
(例)LionはTCP#27374から,CodeBlueとNimdaはTFTPにて親から構成要素をダウン
ロード。
- ホスト毎の感染数に上限を設けるもの。リソースの奪い合いを防ぐ。
(例)CodeRedIIは"CodeRedII"というatom,CodeBlueは"CodeBlue"というatomを作
る。
- 生存時間の制限を持つもの
(例)CodeRedIIは2001/9に停止など。
- 既存のプロセスのスレッドで実行されるため(Parasite Threads),タスクマ
ネージャに表示されないもの。
(例)CodeRed,CodeRedIIはIISのプロセスに寄生。
- システム名などの特別な名前で実行されるため,プロセスを停止させられない
もの(Windows 9xにて)
- メモリ常駐型(Ephemeral worms)
(例)CodeRedは完全にメモリ常駐。CodeRedIIはexplorer.exeのトロイを除き,
メモリ常駐。
- Non-Blocking IOモードのsocketを利用してホストをスキャンするもの。スキャ
ンのインターバルを増大させる。
(例)CodeRedII
- 利用するリソースのスケール(Scaling to Resources)。システムの負荷限界は
超えない程度に最大限のパフォーマンスを出そうとする。
(例)Nimdaが感染したWebサーバは200スレッドで開始(通常60スレッド)
- Worm同士の競争(Turf Wars)
(例)AdoreはanonymousFTPを停止させ,他のWormを阻害。
CodeRedIIはシステムリブートでCodeRedをクリアする,など。
- 独立性(Independence)
外部ライブラリやサブシステムに依存しない,ビルトインされたルーチンを利用。
(例)SirCamはSMTPクライアントを持つ。NimdaはDNSルーチンとSMTPクライアン
トを持つ
- メールサーバのバイパス。Worm感染メールの送信を検知しにくい。
(例)NimdaはMXレコードを見て受信者のメールサーバーに直接接続
- 多言語化(Multi-Lingual)
(例)SirCamは英語とスペイン語。Hybrisは複数の言語。
- セミランダムにIPを生成するアルゴリズムを用い,効率よくスキャンする(Localized
IP Address Target Selection)
(例)CodeRedII, CodeBlue
- アドレス帳を用いないメールアドレスの取得(Non-Address Book Email
Address Harvesting)
(例)SirCamはIEのWebキャッシュ,NimdaはIEのWebキャッシュとMAPI inboxのメッ
セージからメールアドレスを取得。
- DDoS攻撃
(例)初期のLionやAdoreはTNFエージェントをインストール
CodeRedは www1.whitehouse.gov,CodeBlueは www.nsfocus.com を狙う
- バックドアとキーロガーを置いていくもの
(例)Lpdw0rm,Adore,X.cはroot shellsを置く,Lpdw0rmはパスワード無しのア
カウントを2つ作成する等
o 結論(Worm Behavior -Conclusions)
- 複数の経路で感染するWormが増加するだろう
- アンチウィルスソフトは新しいWormに間に合わず対処しきれなくなるだろう
- バックドアを含むWormが増加するだろう
- パッチの組み合わせ(combination of patching),外・内向けのファイアウォー
ルの設置(aggressive firewalling),IDSなどを用いた法的証拠となるデータ
の保存(forensics),新しい情報(flesh information)が復旧時間を短縮するだ
ろう
----
/あらきしょうこ
--[PR]------------------------------------------------------------------
Powered by FreeML -- http://www.freeml.com/ --
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp