Conficker(Downadup) の資料
攻撃手順がわかります
- 「Downadup」ワームの巧妙なるネットワーク・スキャン | 日経 xTECH(クロステック)
- 攻撃対象パソコンの平均的な通信帯域幅を計算する。そして,この値を参考にして,一度に実行可能なリモート・プロシージャ・コール(RPC)のエクスプロイト・スキャン回数を設定する。次に,スキャンの種類やパソコンの使用状況に応じ,各スキャン処理後に0.1〜2秒の一時停止時間を設ける
- 4種類のスキャンを無限に試み続ける。各スキャン処理で「同じサブネット内にあるパソコン」,「過去に感染できたパソコン」,「感染済みパソコンの周辺にあるパソコン」,「ランダムに選択したパソコン」を探す
- PtoP形式の通信チャネルを開きペイロード・ファイルを受信する
- セキュリティ・ベンダーのIPアドレスで構成された膨大なブラックリストを所有している
- ハニーポット・システムを回避しようとしている
感染がばれないようにスキャン間隔を調整したり、既に感染したPCと情報交換したり、ハニーポットを回避しようとする...着実に機能が高度化
閉じたネットワーク内でセキュリティアップデートされてないPCは要注意です
- 「クローズドシステムだから大丈夫」 | 日経 xTECH(クロステック)
- 隔離されているがゆえに、サーバーにはセキュリティパッチが適用されておらず、ウイルス対策ソフトのパターンファイル(ウイルス定義ファイル)も自動更新されていないので、万一侵入された場合にはまったくの無防備な状態
- クローズドシステムというものは、概して大事な情報を保存しておくなどの理由からセキュリティが求められるシステムであることが多いのです。万一、そのクローズドネットワークでウイルス感染などのインシデントが起きると事態は深刻で、目も当てられない状況に陥ります
- セキュリティが心配なのでネットワークをクローズドにする。それがかえって、システムを脆弱にさせたりセキュリティ対策コストを増大させたりする要因となります。「クローズドにすれば大丈夫」という考えは、大昔のメインフレームの世界では成り立った考えかもしれませんが、今の時代、それだけでは安全性は保たれない
閉じられたネットワークでしか使われないPCは見落とされがちな盲点。日本で Conficker や Downadup に感染するのはこういったPCなのだろう