韓国への大規模サイバーテロ事件について(2)

いくつかの続報が出てきていますのでまた少しまとめておきます。
TrendMicroの挙動調査および感染経路の報告はかなり信頼性が高そうな印象です。

1.概要

  • 発信源は中国国内ではなかった
  • Unix系サーバーへの攻撃コードも含まれていた
  • TrendMicroより詳細なmalwareの挙動の調査報告および感染経路の推定報告が出ている

2.発信源は中国国内ではなかった

前回の記事発行時には中国国内のIPアドレスから感染した、と報道されていましたが、状況が変わっています。国内での報道でも出てきていますが、どうも被害にあった農協内部で感染元になったサーバがたまたま中国国内のサーバーのIPアドレスと重複するIPを設定しており誤認したようです。

まぁ、プライベート空間にグローバル空間のIPアドレス振るなよ、っていう話ですが・・・

  1. KISA(韓国インターネット振興院)の報告(韓国語)
  2. atmarkITの記事 韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス

3.Unix系サーバーへの攻撃コードも含まれていた

今回のmalwareは感染したPCを破壊するだけでなく、mRemoteとSecureCRTに保存されているID/Passを利用して、接続可能なUnix系サーバへアクセスして破壊する動きまでとるようです。

mRemote/SecureCRTはどちらもインストールされているクライアントPCからサーバへリモートアクセスを行うためのツールです。要するにリモートデスクトップやらSSHやらの接続を管理し、一度アクセスしたサーバへのID/Passwordを保持して次回接続時に簡単に接続できるようにするツールです。

ゆえにソフトウェア内部のどこかに平文パスワードを保持しており、今回のmalwareはこれを利用して管理者権限が取れるサーバに接続して下記のディレクトリを削除します。

  • /kernel
  • /usr
  • /etc
  • /home

徹底的に破壊に特化しています。ID/Passはこの手のリモート接続ツールに覚えさせておくと、こういう攻撃に利用されるケースがあるという事ですね。私も注意しないと・・・

4.TrendMicroより詳細なmalwareの挙動および感染経路の推定報告が出ている

TrendMicro社より詳細な挙動および感染経路に対する報告(推定)が出ています。現時点では最も説得力があるように思えます。

第一段階:メールによるスピアー攻撃(3/19)

報告によると3/19日に銀行からのメールを装った偽装メールを送っているようです。この偽装メールの添付ファイルはダウンローダであり、添付ファイルを開くと9つのファイルをダウンロードします。

(筆者推測)この”9つのファイル”の実態は記述されていませんが、恐らくバックドア系ではないかと思われます。

第二段階:中央管理サーバへのmalware設置

malwareを効果的に広めるよう、中央管理サーバにmalwareを押し込みます。

(筆者推測)ここは報告書では明確に記述されていませんが、恐らくアンラボ社の中央管理サーバの権限を何らかの手法で奪取したと思われます。サーバの権限を乗っ取ったのか、アンラボ社の中央管理サーバ自体の脆弱性をついたのか、このあたりは現時点では不明です。

第三段階:malwareの散布と起動

中央管理サーバに接続している全クライアントに仕込まれたmalwareが配布され3/20 14:00に起動。結果全クライアント壊滅。

KISAは感染経路の特定はまだ作業中であり、時間がかかる可能性がある、としておりまだ確証取れている状態ではないようです。( KISA報告)。とはいえ現時点では最も説得力のあるストーリーだと思います。

5.現時点で見えていること

  • 昨日時点より調査・解析が進んでおり、技術的には進展。典型的APT
  • 誰が・何を目的として今回の事件を起こしたのかは全く不明

複数の「既存のアンチウイルスソフトウェアに検知されない」新種のmalwareを開発する力を持つ人たちが相手なはずです。相当なレベルであり、やはり軍レベルが関与していそうな雰囲気です。引き続き続報を待ちたいと思います。

広告

韓国への大規模サイバーテロ事件について(2)」への1件のフィードバック

  1. ピンバック: 匿名

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中