エフセキュアブログ

rdp を含む記事

トップガンを越えてゆけ

NHKのプロフェッショナルというテレビ番組の中で、"サイバーセキュリティー技術者の中でも最高の技術を持つトップガン"ということで「あの」名和さんが登場しました。

名和利男(2015年9月14日放送)| これまでの放送 | NHK プロフェッショナル 仕事の流儀

特にマルウェア解析シーンでは突っ込みどころがたくさんありますが、テレビということで大目に見てもらうとして、技術者が誤解したままではマズイと思うことを一点だけ。

終盤でのマルウェア解析の際に、VirusTotalでの検索結果で「b1ef92??」という文字列が出てきたことから、IPアドレスが「177.239.146.???」だと判断してメキシコのサーバを経由した攻撃である可能性がある、という話になっています。
おそらく「b1ef92??」を1バイトずつに分解して、16進数から10進数に変換したのでしょう。

16進数表記 b1 ef 92
10進数表記 177 239 146

ところが、そもそもこの値はVirusTotal独自のハッシュ値ですので、こういった計算でIPアドレスを割り出すことはできません。よって、メキシコというのは誤報でしょう。

では、どこの国を経由した攻撃なのか。それはマルウェア検体自体を解析するのが一番確実です。

マルウェアの中身を見ると、サーバのアドレスは暗号化されていますが、復号ロジックも復号鍵もマルウェア検体自身の中に入っていますので、それを用いて復号するとマルウェアの通信先がわかります。

malwareanalysis

その通信先から、二つ目のサーバに関する情報を暗号化された形で取得できますので、同様に復号すると攻撃者のサーバのIPアドレスがわかります。
そのサーバにアクセスした結果がこちらです。

iisrdp

明らかにメキシコ以外の国が絡んでそうですね。

エフセキュア、SaaS型サーバ製品に脆弱性対策の新機能を追加

エフセキュア株式会社は、SaaS型アンチマルウエアソリューションであるプロテクション サービス ビジネス(PSB)のWindowsサーバOS向けセキュリティ対策製品に対し新たな機能を追加し、提供開始しました。

PSBはSaaS型のアンチマルウエアソリューションで、クラウド上の管理ポータルを利用するマルチプラットフォーム対応のセキュリティサービスです。専用の管理サーバを立てる必要が無いため、サーバを導入するためのコストやサーバ管理コストが不要になり、導入が容易となります。

「エフセキュア プロテクション サービス ビジネス サーバ」及び「エフセキュア プロテクション サービス ビジネス メールサーバ」の新バージョンでは、新たにOSとアプリケーションのパッチ管理機能である「ソフトウェア アップデータ」の機能を追加。また「エフセキュア プロテクション サービス ビジネス メールサーバ」では、更にMicrosoft Sharepointの保護機能を搭載しました。

エフセキュア プロテクション サービス ビジネス サーバ

「エフセキュア プロテクション サービス ビジネス サーバ」は、高性能な検査エンジン*に加え、サンドボックスによる未知のウイルス対策などの先進的な機能を搭載したWindowsサーバOS向けセキュリティ対策製品です。本リリースでは、更にOSや主要なアプリケーションのパッチを管理するための「ソフトウェア アップデータ」の利用が可能になります。近年のマルウェアの80%以上は、OSやアプリケーションの脆弱性を悪用しているため** 、セキュリティパッチをタイムリーに適用することは極めて重要です。またセキュリティパッチは、管理ポータルより一元管理可能なため、パッチ管理の運用コストを大きく削減することが期待できます。

エフセキュア プロテクション サービス ビジネス メールサーバ

「エフセキュア プロテクション サービス ビジネス メールサーバ」は、Microsoft Exchangeサーバ、及びターミナルサービスであるMicrosoft Windows Terminal / RDP serviceやCitrix XenAppの利用環境向けのセキュリティ対策製品です。本リリースでは、新たにパッチマネジメント機能である「ソフトウェア アップデータ」と、Microsoft Sharepointを保護する機能をご利用頂けるようになりました。ユーザが扱うファイルの量やサイズは年々増加し続け、それに伴い様々な方法でのファイル共有がされています。エフセキュアではこうした状況を踏まえました。

*  独立調査機関「AV-TEST」から、2013年Best Protection Awardを受賞
**  2013年、エフセキュアの調査による

MS12-020脆弱性を悪用するツール

  MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh

ジョーのガレージ(SMB):RDPにやられる可能性が最も高い

  先週、我々はMicrosoftのアップデート「MS12-020」をすぐに適用するよう読者の皆さんに助言した。実行された方は — 結構。そしてまだパッチを当てていない方は — 引き延ばしてはいけない。

  「MS12-020」がリリースされて以来、Remote Desktop Protocol(RDP)脆弱性を「兵器化」しようとする慌ただしい動きが続いている。エクスプロイト競争は進行中で、しかも全速力で進んでいる。ラボのアナリストTimo Hirvonenは、Twitterアカウントでこの状況を追跡している。

This security update resolves two privately reported vulnerabilities in the Remote Desktop Protocol.
Microsoft Security Bulletin MS12-020 - Critical

  では…このRDPバグで、どれほどのコンピュータが影響を受ける可能性があるのか?

  研究者のDan Kaminskyがインターネットをスキャンし、無防備なコンピュータは数百万におよぶと概算している。

Extrapolating from this sample, we can see that there's approximately five million RDP endpoints on the Internet today.
RDP and the Critical Server Attack Surface

  何をすべきだろうか?

  Lenny Zeltserが、以下のようにアドバイスしている。

Understand what systems in your environment expose RDP to the Internet. Create a plan to apply the MS12-020 as soon as practical.
The Risks of Remote Desktop for Access Over the Internet

  我々の(企業)読者の大部分は、おそらく既にこの問題に対して行動を起こしているだろう。

  コンシューマ(ホームユーザ)は一般にRDPをオンにしていない。

  では…残るのは? 中小企業だ。

  Casey John Ellisが指摘するように、Remote Desktopは委託IT業者によって非常によく使用されており、小規模企業の経営者はそれが使用可になっているとは思ってもいないかもしれない。

RDP is usually enabled by I.T. contractors without explanation to the business owner
Why Small/Medium Businesses are at the Greatest Risk from the New Microsoft RDP Bug

  我々もEllisに同意せざるを得ない。中小企業はかなりのリスクにさらされている。幸いなことに、Ellisと友人は小規模企業の経営者がリスクにアクセスするのに使用できる、役に立つツールを提供している。「RDPCheck」だ。

  RDPCheckを使用するには、「rdpcheck.com」にアクセスして欲しい。そこから、自分のIPアドレス上で脆弱性のスキャンを開始することができる。

「CVE-2012-0002」に関するMicrosoftのガイダンス

  第一に:Microsoftのリモートデスクトッププロトコルは、デフォルトではWindowsで使用不可となっている。そのため大部分のコンピュータは、今月の「パッチ・チューズデー」が強調している問題に影響を受けない。しかし:もしRDP対応ワークステーションを管理しているなら—「CVE-2012-0002」に関するMicrosoftのSecurity Research & Defenseの記事を読んだ方が良いだろう。

CVE-2012-0002

  「CVE-2012-0002」は、Microsoftに非公式に報告されたもので、イン・ザ・ワイルドであるという報告はない。しかし、パッチがリバースになるのは時間の問題であり、この脆弱性は悪用可能だ。

  よってMicrosoftの記事を読み、スケジュールを立て、テストし、配備すること。そしてすぐにでも実行することだ。

Windowsリモートデスクトップワーム「Morto」が拡散

  この頃は、インターネットワームを見る事はあまり無い。大部分はボットとトロイの木馬だ。しかし、我々は新たなインターネットワームを発見した。現在拡散中だ。

  同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。

  「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを利用することができる。

Morto RDP worm

  同ツールで他のコンピュータに接続する際、ローカルコンピュータを使うように、そのマシンを利用することができる。

Morto RDP worm

  マシンが感染すると、「Morto」ワームはローカルネットワークをスキャンして、Remote Desktop Connectionが可能になっているマシンを探す。これにより、RDPポートであるポート3389/TCPで多くのトラフィックが発生する。

  「Morto」はRemote Desktopサーバを見つけると、管理者としてログインしようとし、一連のパスワードを試みる:

 admin
 password
 server
 test
 user
 pass
 letmein
 1234qwer
 1q2w3e
 1qaz2wsx
 aaa
 abc123
 abcd1234
 admin123
 111
 123
 369
 1111
 12345
 111111
 123123
 123321
 123456
 654321
 666666
 888888
 1234567
 12345678
 123456789
 1234567890


  一度リモートシステムに接続すれば、ドライブC:、D:に対して、\\tsclient\c、\\tsclient\dのようにWindowsシェアを介してサーバのデバイスにアクセスできる。「Monto」はターゲットマシンに自身をコピーするために、この機能を使用する。同ワームは、「A:」のもとに一時ドライブを作成することでこれを行い、それに「a.dll」という名のファイルをコピーする。

  感染により「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などを含むシステム上にいくつかの新しいファイルが作成される。

  「Morto」はリモートでコントロールすることができる。これは「jaifr.com」および「qfsl.net」など、いくつかの代替サーバを介して行われる。

  我々は異なるサンプルをいくつか見ている。いくつかのMD5ハッシュは以下を含む:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d

  このトピックに関するさらなるディスカッションはTechnetフォーラムで。

  我々は「Morto」コンポーネントを「Backdoor:W32/Morto.A」および「Worm:W32/Morto.B」として検出している。


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード