相変わらず、コンピュータウィルスの被害は全世界あとを絶たない。 特に、以前からメール配信により感染するワームによる被害が圧倒的に多かった。 さらに、IISやSQLサーバのセキュリティホールをねらったNIMDA、Slammer等のワームの被害もかなりの物であった。 しかし、ここ数ヶ月(2003年9月現在)は事情が変わってきた。ウィルスの感染に対して感染媒体は何も必要なくなった。 どういう事かというと、メール感染するでもない特定のサーバソフトに感染するでもない!何もなくてもネットに繋げているだけで感染すると言うことである。最悪の事態となってきた(現時点では、過去最大級と言われている)。 そこで、これらのメカニズムをここでは説明していきたい。
俺の余談だが、世界中に人を困らせるのが快感な馬鹿が沢山いる。さらに馬鹿は増える一方である。 特に日本を観察すると顕著だ。馬鹿が蔓延している。人に迷惑かけても知らんぷりの奴ら! 沢山いる!馬鹿な子供に馬鹿な親!このままで行くと日本は馬鹿野郎の国になるかもしれない(笑)。 だいたい、馬鹿な親からは馬鹿な子供が生成される。世の中に馬鹿がいる限りセキュリティビジネスは拡大するだろう。 セキュリティビジネス それは、これからのコンピュータ業界にとって無くてはならないビジネスに違いない(^^)v
1.Blasterに感染する原因
結局のところ、いわゆるセキュリティホールである。「リモートプロシージャーコールI/Fのバッファオーバーランによりコードが実行される」というセキュリティホールである。バッファオーバーラン、つまりバッファオーバーフローである。バッファオーバーフローについては、 ここ を参照。 しかし、ここんとこやけにリモート関係のセキュリティホールが見つかっている。何故か?
と考えてみるとクラッカーの多くはリモートで目的のサーバを自由に制御したいと言うかかさざる事実があるからだ!ほとんどのクラッキングの場合、root権限をとられてしまうことが多い。そのためクラッカー達は、OSのリモート関係のモジュールの脆弱性探しを集中的に研究していると言っても過言ではない(少なくても、俺はそう思っている(爆爆))。
バッファオーバーフローが原因と言うことは、メモリ管理に問題ありと言える。通常、Unix系のOSはC言語で書かれているのでその言語仕様にも問題ありと考える(ここではWindowsもあえて、Unix系のOSと言う表現をいている)。 C++にしてもC言語機能を根本的に採用しているので同じである。
2.感染のプロセス
突くとか抜くとか言うが・・・・。
このワームの感染プロセスを理解するには、”ポート”という概念を理解しなければならない(爆爆)。Blasterが感染するためにはPCの135番ポートというものが必要となる。
では ポートとは何なのか?
これは、検索エンジンで検索するとか ここ を見れば解るのであえてここの節では説明を割愛する。 では、感染プロセスを追ってみる。
■ 感染元PCはランダムに感染先のIPをサイコロする。ターゲットIPが決まったらターゲットIPの135番ポート (epmap、DCE準拠RPC)めがけて、ワーム本体ではない独自の攻撃コード(リモートシェルのコードがかかれている)を送る。
■ 135番ポートで受信したら、コードが実行される(ここでバッファオーバーフローにより、特定のコードが実行されてしまう)。
■ コードは、4444番ポートをオープンして外部から接続可能(操作可能)にする。実体はリモートシェルプログラムでワームの本体とは関係なし。
■ 4444番ポートからroot権限を奪う。さらに、FTPによりワーム本体(msblast.exe)を感染元からダウンロードする。
■ ワーム本体が実行される。ワームが実行されるとレジストリにワーム本体の起動設定がされて次回起動時にワーム本体が起動するようになる。任意に感染対象のコンピュータを検索し、感染拡大を試みる。
そして、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update さらには、感染したシステムの日付が 2003年 8月16日になると windowsupdate.com に対してサービス妨害攻撃をしかける。以上が感染のプロセスである。
3.何故簡単に感染してしまうのか?
何故簡単に感染してしまうのか?Blasterの感染の被害は、いわゆるBBルータをつけてネットに繋げてるユーザは感染しにくいと考える。 ここ を参考にしてもらうと解るが、BBルータのポートはLAN側から WAN側へはスルーになっているがWAN側からLAN側へはデフォルトで一切フィルタがかけられている。したがって、135番ポートは開いていない。 では、どのようなスタイルが危険なのであろう?それはズバリ、ADSLモデムからPCへ直結してネットに繋げているユーザである。 このようなユーザは、デフォルトではWAN側からLAN側へは全てのポートがオープン状態となっていると言っても過言ではない。全く無防備な状態である。
これというのは、若い女性が下着のまま、真夜中の公園を一人で歩くような物である(ーー;)。まさに、「私を犯してください状態」(爆爆)!
4.どうやって防御するか?
これからのウィルス対策はネットワークの知識が必要である。
Blasterで大切な知識は、ポートという概念である。ポートはサービスを提供するためには必要不可欠な物である。ただし、必要ではあるが不要なポートは閉じるべきである。Windowsの場合は、ユーザには関係なく余計なサービスが立ち上がってる場合の方が多い。 したがって、ユーザがポートを管理することなどまず無い。ですから、余計なポートを塞ぐソフトが必要になる。 つまり、ノートンインターネットセキュリティのようなソフトである。このようなソフトを事前に導入してセットアップしておくこ とが万が一の場合の防御となるはずである。なぜ、
■ この手のソフトを導入しなければいけないか?
■ これらのソフトはどのようなことを行っているのか?
ユーザも理解が必要である。インターネットには、馬鹿でもちょんでもつなげられる。しかし、馬鹿やちょんはウィルスに感染して痛い目を見て終わりである。パソコンを買ったら、まず金をかけてセキュリティソフトを購入してセットアップしよう!さらに、この手のワームには、BBルータの設置が効果的である。検討してみたらいかがだろう。
以上
コメント