「mstmp」系ウィルス補完計画
私が管理するネットワークで、10/1より戦っていた「mstmp」系ウィルス(仮称)がやっと大手ウィルスベンダーでも報告があがってきた。
国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム
が、意図したものか、そうでないのかわからないけど、結構、情報が抜けているようなので、私が知っていることを補完しようと思う。今、嫁の実家で資料も手元にないので、メモですまん。
・タイムライン 感染開始時期は9月末、私が確認したのは10月1日(金)16:00から、10月15日(金)16:00まで。 ・トレンドマイクロの事例はlib.dllだが、10月6日以降はadvbho.dllがダウンロードされてくるパターンもある。 ・今回、比較的被害が少ないのは、ウィルス本体のlib.dllが当初からウィルス検知・駆除できていたから。mstmpがウィルス判定されたのは10月6日以降。ちなみに、advbho.dllがウィルス判定されるようになったのは、10月20日早朝から。 ・トレンドマイクロのサイトでは正規サイトが改ざんとあるが、実際には某サービス会社のサーバに毒が埋め込まれた可能性が高い。現在、原因を調査中なのと、今のところ被害が収束しているので、会社名公開は自粛。 ・某サービス会社がやられているので、Proxyログだけで感染元を特定するのは至難の業。特に、mstmpにウィルス対策ソフトのパターンファイル対応が10月6日なので、感染時と、ウィルスとしての検知時間とに、タイムラインの断絶があるためmstmpがいつ仕込まれたのか調べるのが大変。 ・トレンドマイクロが書いていない関連ファイルに、jar_cache11040.tmp、0.xxxxxxxxxx.swf、0.xxxxxxxxxx.exe lib.sigがある。(※”xxxxxxxxxx”は任意の文字列) ・閲覧した大手サイト、そしてその大手サイトが利用している某サービス会社のサーバ、そしてそこに埋め込まれた毒入りJavaScriptが実行されて、複数のドメイン(確認しているだけで3サイト以上)の攻撃ツール配布サイトに誘導という動きをするため、動きがわかった後にProxyのログをみて初めて感染ルートがわかる。ちゃんと証拠をつかむには、パケットブラックホールなどのネットワークフォレンジックツールがないと、超面倒。 ・ちなみに、うちが把握しているツールの配布IPアドレス群。10月18日(月)の時点の情報なので、今も生きていたら別のIPアドレスが使われている可能性がある。とりあえず、クラスCで下記IPからProxyログを洗うのが吉。そうすれば事件の全貌が見えてくる。 64.27.25.223(224以降たくさん) 85.17.209.3 88.80.7.152 ・ちなみに、blacklistへの登録状況等はこちらを参照。結構、SOCのアウトバンドトラフィック監視には引っかかっていたので、ブラックリストには載っているっぽい。 http://www.robtex.com/ip/64.27.25.223.html http://www.robtex.com/ip/64.27.25.224.html http://www.robtex.com/ip/85.17.209.3.html http://www.robtex.com/ip/88.80.7.152.html ・何を持って被害企業とするかどうかだが、mstmpができた企業(10月6日以降の駆除されたもの含む)という判定なら実際には、被害範囲は数千社を超えるのではないかと思う。・ちなみに、調査協力、LACの新井さん(@yarai1978)、zou団@k4mez0u君、@kikuzou君、お疲れ様でした。まだ過渡期ですが、追い込みがんばりましょう。
あと、以下、雑感。
・トレンドマイクロのコーポレート版Ver.10を使っている某企業さんではほとんど被害がなかったらしいので、もしかして、Webレピュテーションがうまく働いた? ・個人的なイメージだけど、今回のウィルスの対応の早さで言うと、トレンド○イクロ>シ○ンテック>マ○フィー。マ○フィー、何やってんの。・マカフィーはセキュリティホールmemoの小島先生いわく、Artemisの機能がONじゃないとだめらしいので、トレンドマイクロの暗号exeの検知+Webレピュテーション機能ONと同じく、その設定が必須のようです。こうしてみると、Symantecがまだまだパターンファイルに頼っていて、ファイルレピュテーション機能がさっさと実装されないと、一歩負けている気がしてきた。 ・zou団@k4mez0u君、@kikuzou君たちは特に良い仕事をされたので、第5回 セキュリティうどん(かまたま)–香川で詳細な報告を楽しみにしています。その時には、うちのウィルス解析担当の若い衆連れて遊びにいきます。 ・御礼JPCERT/CCの中の人。某社に対して圧力になった気がします。 ・苦言。IPAの中の人、「もうウィルス配布が収束しているから、IPAは関知しないので、当事者同士で話をしてくれ」はないと思う。それでいいのかIPA!というか、話した相手が悪かったのか?担当者がはずれだった? ・今回のウィルス感染事案、まとめ記事がでるのに20日以上かかるってどうなのよ。もしかした、おいらたちが本当の最前線にいたのか?まぁ、今回の事例、googlehack型+FFR社Origma型ハニーポットじゃないと検知不可能、エンドユーザに近い環境で検体、関係情報の収集をしないと犯人にたどり着けなかったと思うので、それで調査が遅れた? ・本当に日本だけ?検索したら、アラビアと、どっか南米か当たりでも被害が報告されていたけど・・・ ・おいらたちの対応にしても、IPA、JPCERT/CC、ウィルスを撒き散らした企業に対するアプローチも、もうちょっと強く出たほうが良かったのではないか。また、実はウィルス対策ベンダーには検体しか提供してなかったんだけど、もっと情報交換したほうが良かったのだろうか。こういうのって、IPAとJPCERT/CCには情報提供していたのだが、ちゃんと情報が横展開されたのだろうか? ・というか、専門セキュリティベンダーじゃない地方の一企業の担当者の情報なんて大した事ないという扱いを正直感じた。地方のセキュリティ技術者なめんなよ。中央の分業特化型セキュリティ技術者に比べて地方のセキュリティ技術者は一人でネットワークフォレンジックから、コンピュータフォレンジック、ウィルス解析まで何でもやらにゃいかんから、応用力じゃ負けんぜよ。(負け惜しみ) ・愚痴はともかくウィルス対応は、もうちょっと相談できるパスを事前に構築しとかなきゃいかんなと思ったので、これを機会に顔つなぎしておこうかと思う。
こんなところかな。つれづれでまとまっていなくて申し訳ない。今日は、これで精一杯。