遠隔操作機能をもつマルウェアの動作と検知後の初動活動【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問3】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問3

問2 セキュリティインシデントへの対応に関する次の記述を読んで、設問1〜5に答えよ。

(略)

f:id:aolaniengineer:20200501042742p:plain
(略)

 DMZに設置されたサーバにはグローバルIPアドレスが付与され、インターネットとの間で通信できる。DMZ以外に設置された機器には固定のプライベートIPアドレスが付与され、インターネットとの間の直接の通信はFWによって禁止されている。ただし、業務PC-LANに接続されたPCは、プロキシサーバを介してインターネットにアクセスできるプロキシサーバは直近60日分のログを保存している。開発LANからDMZへの通信は、FWによって禁止されている。

(略)

【マルウェアについての通知】

 マルウェアを配布していたサイト(以下、サイトMという)にA社の機器のうち1台がアクセスし、遠隔操作の機能をもつ、”new3.exe”というファイル名のマルウェアKをダウンロードした可能性がある旨の通知が、10月10日に、ある民間組織からA社に対してあった。伝えられたサイトMのIPアドレスはA社管理外のものであり、サイトMのログに残っていたアクセス元のIPアドレスはA社のプロキシサーバのものだった。この通知はA-CSIRTに伝えられ、インシデント対応ポリシに照らして判断した結果、A-CSIRTが、インシデント(以下、本インシデントをインシデントQという)として直ちに対応を開始することになった。

 A-CSIRTのメンバであるシステム部のCさんが、外部のインシデント対応研修に参加して得た知識を基に手順を手探りしながらも調査したところ、次のことが分かった。

・9月4日14時30分頃、②業務PC-LANに接続されているPCであるPC-AがサイトMにアクセスし、”new3.exe”をダウンロードした。

②について、サイトMにアクセスしたPCを特定した方法を、60字以内で具体的に述べよ。:プロキシサーバのログからアクセス先がサイトMのエントリを抽出し、このエントリからPC-AのIPアドレスを得た。

サイトMのログで、アクセス元のIPアドレスがプロキシサーバのものであることが確認されています。

これは、問題文の「業務PC-LANに接続されたPCは、プロキシサーバを介してインターネットにアクセスできる」とあることから、通常の通信経路です。

したがって、プロキシサーバのログを確認すれば、どのPCがアクセスしたかを確認できそうです。

なお、「DMZ以外に設置された機器には固定のプライベートIPアドレスが付与」「プロキシサーバは直近60日分のログを保存している」という記述からも、プロキシサーバ のログでPCを特定できることが分かります。

・PC-Aの利用者は開発部のDさんである。

・プロキシサーバのログに、上記のダウンロードの直後、③PC-Aが特定のサイトにアクセスし、その後頻繁に同じサイトにアクセスを繰り返す様子が記録されていた。プロキシサーバのログのうち、送信元がPC-Aであるものを図6に示す。

f:id:aolaniengineer:20200502092150p:plain

f:id:aolaniengineer:20200502092222p:plain

③について、このアクセスによってマルウェアが何を行っていたと考えられるか。HTTPリクエストとHTTPレスポンスによってマルウェアが行っていた活動を、HTTPリクエストによる活動は30字以内で、HTTPレスポンスによる活動は20字以内でそれぞれ具体的に述べよ。:C&Cサーバへのコマンド要求又は応答/C&Cサーバからのコマンド受信

「上記のダウンロードの直後、③PC-Aが特定のサイトにアクセスし、その後頻繁に同じサイトにアクセスを繰り返す様子が記録」について、図6のログを見ていきます。

「上記のダウンロード」とは、サイトMの”new3.exe”というファイル名のマルウェアKのダウンロードのことです。

これは、7行目の「”GET http://IPm/dl/new3.exe HTTP/1.1″ 200 143623」が該当してそうです。

そして、その直後の8行目以降で、「IPn」という特定のサイトへのアクセスを繰り返していることが分かります。

  •  8: “GET http://IPn/news.php HTTP/1.1″ 200 5429
  •  9: “POST http://IPn/login/pro.php HTTP/1.1″ 200 646
  • 10: “POST http://IPn/login/pro.php HTTP/1.1″ 200 35621
  • 11: “GET http://IPn/admin/g.php HTTP/1.1″ 200 563

実は、この先の記述ですが、表1に”new3.exe”ファイルの説明があります。

そこには「遠隔操作の機能をもつマルウェアKである。実行されると、IPnのサイトにアクセスして、そのレスポンスに従って動作する。また、指定されたファイルを、HTTPのPOSTメソッドを用いてIPnのサイトに送信する機能をもつ。」とあります。

このようなマルウェアに感染したコンピュータに指示を出したり、制御するサーバのことをC&Cサーバといいます。

上記例の場合、8行目、11行目のGETメソッドでC&Cサーバへ指示を要求・受信し、9行目、10行目のPOSTメソッドでC&Cサーバへデータを送信しているようです。

設問のHTTPリクエスト、HTTPレスポンスには、これらを回答すれば良さそうです。

 Cさんは、直ちに④PC-Aをネットワークから切断して回収した。また、ここまでに分かったことを基に、(k:プロキシサーバのログから、IPnのサイトにアクセスした機器がほかにないか)を調査して、マルウェアKがほかの機器にも感染している可能性を簡易的に確認した。

④について、調査の観点から見たときの問題は何か。40字以内で具体的に述べよ。また、この問題を軽減するために本文中の下線④を実行する前に行うべき措置を、30字以内で具体的に述べよ。:PCのネットワークインタフェースや通信の状態についての情報が失われること/メモリダンプを取得する。

感染拡大防止のためには、被疑コンピュータを直ちにネットワークから切り離すことは重要です。

一方、調査の観点からすると、状況保全(コンピュータフォレンジックス)が重要になります。

被疑コンピュータ内の状態、例えばネットワークインタフェースや通信状況、ルーティングテーブルやARPキャッシュ等の状態は調査・分析に非常に有用な情報となるため、インシデント発生中の状態での保全が望ましいです。

これが、ネットワークから切り離すことで、それらの情報が失われてしまう可能性が高くなります。

マルウェアによっては、ネットワークから切り離されたことを検知して、活動を中止したり、証拠隠滅を行うものもあります。

この対策として、ネットワークから切り離す前に、被疑コンピュータのメモリダンプを取得することが有効です。

k:プロキシサーバのログから、IPnのサイトにアクセスした機器がほかにないか

「ここまでに分かったことを基に・・」の分かったこととは、マルウェアKに感染したPC-Aの挙動が、「特定のサイト(IPn)にアクセスし、その後頻繁に同じサイトにアクセスを繰り返す」ということです。

したがって、「マルウェアKがほかの機器にも感染している可能性を簡易的に確認」するには、プロキシサーバのログから、IPnのサイトにアクセスした機器がないかを確認すれば良さそうです。

 その後、Cさんは、試行錯誤しながら更に詳しく調査を進め、図7に示す調査結果を得た。

f:id:aolaniengineer:20200502092307p:plainf:id:aolaniengineer:20200502092339p:plainf:id:aolaniengineer:20200502092406p:plainf:id:aolaniengineer:20200502092429p:plain

⑤について、Dさんの利用者IDを用いたPC-Bへのログインに最初に成功するまでに、攻撃者が何回ログインに失敗したことが記録されているか。記録されている失敗の回数を答えよ。:7回

9月5日10時35分から45分までに、PC-Bへのログインに最初に成功しているのは、図8から「10時41分」です。

その間にログインに失敗しているのは、図9から7回であることが分かります。

 次は、これまでの調査結果についての、CさんとG部長の会話である。

Cさん:PC-Aが攻撃者によって遠隔操作されたことは間違いないと思います。また、PC-Bは、少なくても、Dさんがオフィスに来ていなかった9月5日に攻撃者に遠隔操作されていたようです。

G部長:PC-Bで見つかったファイルAについては、どのように考えればよいか。

Cさん:ファイルAは、情報を社外に送信するために攻撃者が作成したと考えればよいと思います。しかし、PC-Bはインターネットにアクセスできないので、情報は社外に送信されなかったと思われます。

G部長:そうだろうか。例えば、ほかの機器を経由して送信された可能性はないのか。

Cさん:ほかの機器もいろいろと調査しましたが、ファイルAと同じ名前のファイルは見つかりませんでした。

G部長:ファイル名が同じとは限らない。ファイルが既に削除されている可能性もある。そういった可能性も考えて調査を続けてほしい。

 Cさんは、Dさんが利用している機器について、フォレンジックツールを用いて、ファイルAのファイルサイズと(l:ハッシュ値)をキーにしてファイルを検索した。その結果、PC-Aにおいて、9月8日3時35分に、ファイル名は異なっていたものの、ファイルAと同じ内容のファイルが作成されていたことが分かった。また、プロキシサーバのログから、⑥当該ファイルが社外に送信された可能性があることが分かった。

l:ハッシュ値

同じ内容のファイルかどうかを判断するには、ファイルのハッシュ値を利用します。

ファイルの内容が同じであれば生成されるハッシュ値は常に同じであり、一部でも異なっているとハッシュ値は違う値となります。

そのため、ハッシュ値は原本と複製が同一である証明や、ファイルが破損していないかどうかを確認するために利用されます。

⑥について、ファイルの社外への送信の可能性を示す記録を図6中から選び、行番号で答えよ。また、プロキシサーバ又はFWが取得できる情報のうち、当該記録と併せて見ることによってファイル送信の有無を判断するのに役立つ情報を35字以内で答えよ。ただし、送信元のIPアドレス及び図6中に示された情報は対象外とする。:28行目/プロキシサーバがインターネットに送信したデータのサイズ

当該ファイルは、9月8日3時35分に作成されていますので、社外に送信されたのはそれ以降の時間帯です。

また、表1に、マルウェアKは「指定されたファイルを、HTTPのPOSTメソッドを用いてIPnのサイトに送信する機能をもつ」とあります。

図6からこれらの条件に当てはまるのは、28行目の「”POST http://IPn/admin/g.php HTTP/1.1″ 200 35618」が該当します。

ファイル送信の有無を判断する情報としては、インターネットに送信したデータのサイズがありそうです。

上記のプロキシサーバのログにある「35618」は、表6の注記2に「要求元PCに送信したレスポンスメッセージのサイズ」であり、プロキシサーバがインターネットに送信したデータのサイズではありません。

 加えて、Cさんがインターネット検索をしたところ、ファイルAに格納されていた複数のファイルが、掲示板Uに、インシデントPのときと同じ投稿者によって投稿されていたことが分かった。こららのファイルのうち幾つかは、USBメモリRに格納されたことはないと考えられるものだった。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】