MS05-039とZotobに関するサマリー
先週のマイクロソフト8月の月例パッチリリース以降、短期間の間に関連するエクスプロイトが多数公開され、これを利用した様々なボットの亜種が感染を広げるという事件が発生した。この一連の出来事についてDominic White氏がブログ上に整理していたものを、本人の了解を得た上で日本語に訳したのでここに掲載する。
MS05-039 and the Zotob summary(Dominic White, 2005/8/18)
MS05-039とZotobに関するサマリー(Dominic White氏, 2005/8/18)Japanese Translation(Keiji Takeda, 2005/8/20)
日本語翻訳:(武田圭史, 2005/8/20)ここ数日の間に様々な事態が発生していたが、本当に重要な出来事とメディアによるデマが入り混じり、我々は“Chief”にこの件について騒ぎたてるように頼まれた。このサマリーでは、この事件に関する情報からデマを取り除き、何らかの重要な教訓または理論を得ることができないかを調査した。
タイムライン
- 2005/8/9 マイクロソフトは定期的なリリースサイクルに基づき、4つの「緊急」を含む6つのセキュリティパッチ、MS05-0(38-43)をリリースした。MS05-038,041に対するエクスプロイトがリリースされた。
- 2005/8/10 MS05-038に関する電子署名のトラブルが解消された。
- 2005/8/11 MS05-039 (PnPエクスプロイト)(その1、その2)に対するエクスプロイト及びMS05-038に対する追加のエクスプロイトがリリースされた。さらに、Veritas backup agentに関する0dayエクスプロイトが公開された。マイクロソフトがセキュリティアドバイザリーを発行した。
- 2005/8/12 SANS ISCは多量のエクスプロイトによりワームが開発される可能性が高いと判断し、InforConアラートレベルをイエローに上げた。エクスプロイトを検出するためのsnortシグネチャがリリースされたMS05-039 (PnP)に対する新たなエクスプロイトがリリースされた。
- 2005/8/13 Infoconはイエローのまま、ワームの出現が予想された。
- 2005/8/14 MS05-039 (PnPエクスプロイト) をアタックベクターとするワームがリリースされる。これはF-Secureによって発見されZotobと命名された。通常ポート445はファイアウォールでブロックされており、Windows XP SP2/2003にはほぼ影響がないため、このワームのインパクトは小さいと判断された。これを検出するためのSnortルールがリリースされた。マイクロソフトがガイダンスを含むようアドバイザリーを更新した。
- 2005/8/15 既存のIRCボットがMS05-039エクスプロイトをアタックベクターとして利用するようアップデートされ、ブレンドされた脅威となった。Zotob (Zotob BおよびC)の亜種が現れ始める。マイクロソフトがZotobに関するガイダンスとエンサイクロペディアのエントリをリリースした。アップルが2005-007というタイトルでセキュリティアップデートをリリースした。
- 2005/8/16 SANS ISCが「現時点で多くの攻撃可能なシステムは攻略された」と判断し、、新たなエクスプロイトはリリースされていないことからInfoConアラートをグリーンに戻した。マイクロソフトが、MS05-039に関するセキュリティアドバイザリをアップデートし、プレスリリースを発表した。CNN、ABCNews、NYTimes、 Capitol Hillが彼らのネットワークのワーム感染を報じた。これはPnPを含む5つのアタックベクター(その1、その2、その3、その4、その5) を利用したZotobまたは新たなRBotと思われた。SANSとマイクロソフトは感染が局地化したことについて同意した。
- 2005/8/17 すでにZotobの7つの亜種が存在していた。Rbotが一つ、SDbotが一つ、CodBotが一つ、IRCbotが3つ、PnPの脆弱性を使ったBozoriの亜種が2つである。BozoriとIRCbotは他のボットを削除した。CNN等のメディアが大騒ぎした。マイクロソフトがプレスリリースをアップデートした。インターネットエクスプローラの0-dayエクスプロイト(ノーパッチ)がリリースされ、SANS ISCは対応することができず、ウィルス対策ベンダーはこれを検出するようにシグネチャをアップデートした。
ディスカッション
現在、事態は収まっており、分析にとりかかりたい。今回の事件は「脆弱性の公開からウィルスの発生までの最短の周期だ」と主張する人々がいた。最初、この主張は事実だと思われたが実際にはそうではない。Sasserはエクスプロイトがリリースされた翌日に出現しているが、脆弱性自体は16日前に公開されている。しかし、wittyワームはeEyeによる脆弱性の公開から36時間後に出現している。したがって今回の事件は、脆弱性公開からエクスプロイト、エクスプロイトからウィルス、脆弱性公開からワーム出現のいずれの期間についても最短ということはない。ZytobはMytobの子孫でありトルコの同じ作者によって作成されたと見られている。
複合的な脅威が問題を大きくしているようだ。新たな脆弱性が公開されると既存のワームがそれをアタックベクターとして使用するようにアップグレードされる。これはまさに今回の事件で我々が目にしたものであり、今後さらにこの傾向が強まるものと思われる。これらを支配する単一のワームはもはや存在しない。
事件中盤でのVeritasとAppleのパッチに関するエクスプロイトは、いくらかの人々にとって大きな問題となった。標準化に関するjoatの主張は、垂直統合を最小化することによっていくらかのメリットを得られることを言っている。例えばLinuxをデスクトップとサーバの両方に利用する場合でも、それぞれの設定は異なったものにしておき、水平レベルでは標準化するというアプローチである。
考察
パッチマネジメント・メーリングリストにおける投稿が問題をうまくまとめている。この企業は、分析から完全な対策の展開まで、20日のテストサイクルを使用していた。Sasserの事件があってから、彼らは7日のテストサイクルを導入した。しかしながら、今回の事件は、0-dayは無理としても3日のテストサイクルが必要であることを示した。各種対応についてはマネジメントの承認が必要である。パッチを3日であてるのはほぼ不可能に近い、通常そのような短期間でパッチをあてることはできない。他の問題としては、現在のIEの0-day攻撃等によってパッチング・ポリシーが非現実的な競争に追い込まれている。この状況に対して、我々は緩和戦略をとらざるを得ない。パッチを当てることなく、このようなマルウェアをブロックするいくつかの方法が存在する(いずれにしろ最終的にはパッチを当てるのが望ましいが)。これは短期的な対応と、アーキテクチャの変更など長期的な対応の2つからなる。
短期的な対応
- 該当するサービスについてファイアウォールをプロキシとして使用するかサービスを停止する。
- 推奨される緩和戦略を適用する(この場合NULLセッションを無効化する)。
- snortシグネチャを更新し、不審なトラフィックをブロックする。これはいくらかのフォールスポジティブをもたらすかもしれないが、ワームへの感染に比べれば対応が容易である。フォールスポジティブはコミュニティがシグネチャを改善する助けにもなる。
- そのマルウェアをブロックするようにウィルス対策シグネチャを更新する(常に有効とは限らない)。
長期的な対応
- ポータブルデバイス(例:Wifiデバイス、ラップトップ、PDA)を特別なサブネットに隔離し、外部ネットワークのように取り扱う。これによりマルウェアが内部に持ち込まれるのを防止できる。
- マルウェアがトンネルされるのを防ぐためVPNアクセスを制限する。単純なWebアプリケーションのレベルで十分なアクセスを提供できる場合がある。
- ルーティングのホワイトリストを実装し、イグレスフィルタリングを行う。ユーザのデスクトップは特定のサーバにさえ接続できれば良いケースも多い。これによって、組織内での感染速度を遅らせ、サーバのパッチ当てにより多くの時間を使うことができる。
- 環境によっては実行ホワイトリストの利用が有効である(Axel Ebelに感謝)。Windows のDEPにより署名付バイナリによる制御が可能である。
- セキュリティ情報、特にSANS ISC InfoCon脅威レベルに注意する。最小限のテストで即座にパッチを当てなければならないこともある。
これらによりパッチをテストし展開する時間を稼ぐことができる。我々はいまだに、Morrisワーム事件の際、Bill Cheswickがこのペーパーで「柔らかい中心を包む殻」と表現したものが必要なのだ。
結論
結論として、今回の件は大して重要ではない多くのノイズのようにも見えるが、実際に全く何もなかったというわけではない。デマもパッチ当てや脅威管理ポリシーのアップデートには使うことができるのである。更新:体裁を整え、微修正を行った。
更新:おっと、wittyワームはZotobより早かった。
更新:実行ホワイトリストを追加。SANS ISCからエントリーのレビューを受けOKをもらう。
Posted by Dominic White in Masters at 01:21
© Dominic White 2005
Original content in this work is licensed under a Creative Commons License.
このコンテンツはクリエイティブ・コモンズ・ライセンスの下でライセンスされています。
Thanks to Dominic for his insightful work and for his approval of translation for Japanese readers. -Keiji
MS05-039 and the Zotob summary
Quite a lot has happened in the last few days, some of it is significant and s…