ワーム動向解析レポート

□ ワーム動向解析レポート - Blaster -

最終更新時刻 2003年8月21日 00時48分
初期作成日 2003年8月17日

1-1. ワーム概要

Blaster ワームは Microsoft Windows NT/2000/XP/2003 が使用している RPC インターフェースの脆弱性を利用したワームであり、感染活動のみ行いシステムの改竄といった活動は確認されていません（OS が異常終了、再起動することはあります）。このワームに感染すると攻撃活動のためにネットワーク帯域を消費し、ネットワークスループットが低下する恐れがあります。
RPC (Remote Procedure Call) はリモートシステム上のコードをネットワーク経由でローカルシステムと同様に実行可能にします。Windows NT/2000/XP/2003 が標準でサポートしている分散コンポーネントオブジェクトモデル (DCOM) は、 RPC を利用しているためこの影響を受けます。

1-2. 感染手法

RPC が使用する tcp/135 に対して攻撃パケットを送信します。

1-3. 感染を防ぐ対策

最新の Service Pack を適用し、その後 MS03-026 関連のセキュリティパッチを適用する
ルータやファイアウォールで tcp/135 を遮断する
DCOM を無効にする

ルータやファイアウォールでは一般的に外からのアクセスは出来ないようになっていますが、それに加えて中から出ていく tcp/135 を遮断しておくと万が一感染してしまっても他のネットワークへの影響を食い止められます。また、その他の RPC に関連したポートを閉じておくのも有効ですが、アプリケーションが使用できなくなったり、共有・ユーザ認証が行えなくなる場合もあります。

tcp/135 udp/135 (DCE endpoint resolution/Microsoft RPC)
tcp/139 (NETBIOS Session Service)
tcp/445 (microsoft-ds)
tcp/593 (HTTP RPC Endpoint Mapper)

詳しくは Blasterに関する情報

2. 攻撃の検出方法

～ Linux の場合～
システムログにフィルタリングの記録が残るので、grep コマンドを使い該当の部分を出力します。まず、root など /var/log/messages ファイルにアクセスする権限のあるユーザに切り替えます。その後 grep コマンドを実行します。該当のログがある場合は下のような出力がされます。下の例は見易いように適当なところで改行してあります。

# su
$ grep 'DPT=135' /var/log/messages*
Aug 17 17:18:33 hostname kernel: ip_dropIN=ppp0 OUT= MAC= SRC=*.*.*.* DST=*.*.*.*
LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=29145 DF PROTO=TCP SPT=1322
DPT=135 WINDOW=8760 RES=0x00 SYN URGP=0

3. 検出数の推移

下は自宅のサーバでの検出数をグラフにしたものです。ワームの確認された 8 月 12日までには多くても 4回／日程度の頻度だったのが、12日以降は明らかに増加しています。1時間に 20回未満なので消費されたトラフィックはさほど多くないのですが、まだまだ収束する傾向がないので多くの会社が勤務日となる 18日以降は注意が必要かもしれません。
グラフを見て分かるように、毎日 18時前後にピークがくるようです。

推移状況 (2003/08/19 0:00～2003/08/21 0:00) 推移状況 (2003/08/12 0:00～2003/08/19 0:00)
※18日の 0時前後に雷が原因と思われる停電があったため、2時半頃まで電源が落ちたままでした。従って、18日0時～2時のデータは抜けています。

4. 送信元ホストのエリア

現在解析中です。