不正侵入の発見 Windows 20050204

1,481 views
1,434 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,481
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

不正侵入の発見 Windows 20050204

  1. 1. JPNIC・JPCERT/CCSecurity Seminar2004 ホストレベル、セグメントレベル、企業レベル、 グローバルレベルでの不正侵入の発見手法とは? (Windows版) インターネットセキュリティシステムズ株式会社  セキュリティオペレーションセンター スーパーバイザー  シニアセキュリティエンジニア 守屋 英一 2005年02月04日© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  2. 2. 目次 はじめに 不正侵入の現状 不正侵入の発見手法 ホストレベル セグメントレベル 企業レベル グローバルレベル 2© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  3. 3. トップ10(2004年) ∼はじめに∼ 3© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  4. 4. 現在も観測されるワーム ∼はじめに∼ 想定される原因のひとつ 未管理サーバの存在 不正侵入検知・防御(IDS/IPS)などセキュリティ 感染に気が付いていない 対策がとられていない ワーム発生日時 ISS東京SOC観測(2004年7月) 2004/5/01 Sasser_Worm 2003/8/22 Agobot_Worm 2003/8/11 Blaster_Worm 2003/1/25 Slammer_Worm 2001/9/18 Nimda_Worm 2001/8/04 Code_Rad II 2001/7/19 Code_Rad v2 2001/7/12 Code_Red v1 4© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  5. 5. 脆弱性の発見からワーム発生まで ∼はじめに∼ メーカ / セキュリティベンダ / 他 公開活動 攻撃側 (非公開活動) セキュリティ関連サイトで 悪性プログラム作成 悪性プログラム作成 セキュリティホールの発見 セキュリティ関連サイトで 情報交換 情報交換 情報交換 情報交換 パッチの解析 パッチの解析 参照 メーカー等への通知 脆弱性証明プログラム 非 脆弱性証明プログラム ワームの作成 ワームの作成 公 作成 作成 開 亜 パッチの作成 種 発 亜種の拡散 生 ワームの拡散 亜種の拡散 サ ワームの拡散 イ ク パッチの未適用 パッチの未適用 ル サーバ サーバ ワームの改良 ワームの改良 パッチの適用 •ワーム作者、ハッカー パッチの適用 •動機ある者 5© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  6. 6. 攻撃のサイクル ∼はじめに∼ 攻撃側 メーカ / セキュリティベンダ / 他 悪性プログラム作成 悪性プログラム作成 セキュリティホールの発見 情報交換 情報交換 パッチの解析 パッチの解析 メーカー等への通知 侵入行為 非 侵入行為 公 攻 開 撃 パッチの作成 サ イ スキャン行為 スキャン行為 ク 悪性プログラムの 悪性プログラムの 次のターゲットへ ル ダウロード 次のターゲットへ ダウロード パッチの未適用 パッチの未適用 サーバ サーバ レジストリ修正 レジストリ修正 バックドア作成 バックドア作成 パッチの適用 パッチの適用 •ワーム作者、ハッカー •動機ある者 6© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  7. 7. 監視範囲 ∼ホストレベル∼ REMOTE/MOBILE - ActivePorts COMPUTING - IRCR - Tripwire - Event log REMOTE OFFICE CORPORATE INTRANET PARTNER EXTRANET 7© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  8. 8. 発見事例 ∼ホストレベル∼ REMOTE/MOBILE - ActivePorts COMPUTING - IRCR - Tripwire - Event log REMOTE OFFICE CORPORATE INTRANET ■環境 日時:2004年11月20日(0:00∼8:30) PARTNER EXTRANET OS:Windows2000(IIS) IP:192.168.221.180 ▼事例 ワーム感染(多重感染)事例 8© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  9. 9. 時系列 ∼ホストレベル∼ ① ① ② ② ③ ③ ④④ Webへの Webへの ログの確認 ログの確認 ポートと ポートと ファイルや ファイルや 対応 対応 アクセスが アクセスが プロセス プロセス ディレクトリ ディレクトリ が重い が重い の確認 の確認 のチェック のチェック (ActivePorts) (ActivePorts) (Tripwire) (Tripwire) (IRCR) (IRCR) 9© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  10. 10. ①セキュリティログでの確認 ∼ホストレベル∼ セキュリティログのイベントID ID592:新規プロセスが作成された。 ID593:プロセスが終了した。 詳細:http://download.microsoft.com/download/technetpluscd/Update/100/NT5/JA/w2000msgs.exe(日本語) 10© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  11. 11. ①セキュリティログでの確認 ∼ホストレベル∼ 2004年11月20日 0:01 ID592:新規プロセスとしてTFTP が起動されている。 悪性プログラムがダウロードされ た可能性がある。 11© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  12. 12. ①セキュリティログでの確認 ∼ホストレベル∼ 2004年11月20日 0:01 ID592:新規プロセスとして、Msbb.exe という不明なプロセスが起動されている。 12© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  13. 13. ActivePortsによる解析 ∼ホストレベル∼ ActivePorts (http://www.protect-me.com/) ポートとプロセス関連付けて表示する 13© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  14. 14. ②ActivePortsでの確認 ∼ホストレベル∼ ActivePortsで表示させた結果、 C:¥WINNT¥system32¥Winregs32.exeという 不明なプロセスを多数確認する。 Process State Path Msbb.exe LISTEN C:WINNTSystem32Msbb.exe Win32Fixr.exe CLOSE_WAIT C:WINNTSystem32Win32Fixr.exe Win32Fixr.exe LISTEN C:WINNTSystem32Win32Fixr.exe Winregs32.exe LISTEN C:WINNTSystem32Winregs32.exe wilogon32.exe LISTEN C:WINNTSystem32wilogon32.exe 14© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  15. 15. ②IRCRによる解析 ∼ホストレベル∼ IRCR(http://www.Incident-reponse.org/IRCR.html) TCT(The Coroner’s Toolkit)に類似した機能がある。 NETコマンド,ARPテーブルなどの各種情報を収集する。 15© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  16. 16. ②IRCRによる解析 ∼ホストレベル∼ TCP 192.168.221.180:3079 192.168.130.231:135 SYN_SENT TCP 192.168.221.180:3080 192.168.131.105:135 SYN_SENT TCP 192.168.221.180:3081 192.168.91.100:135 SYN_SENT TCP 192.168.221.180:3082 192.168.248.26:135 SYN_SENT TCP 192.168.221.180:3083 192.168.255.35:135 SYN_SENT TCP 192.168.221.180:3084 192.168.112.178:135 SYN_SENT TCP 192.168.221.180:3085 192.168.57.236:135 SYN_SENT TCP 192.168.221.180:3086 218.18.21.232:135 SYN_SENT TCP 192.168.221.180:3087 218.221.53.234:135 SYN_SENT TCP 192.168.221.180:3088 192.168.139.85:135 SYN_SENT TCP 192.168.221.180:3089 218.63.86.146:135 SYN_SENT TCP 192.168.221.180:3090 192.168.126.37:445 SYN_SENT TCP 192.168.221.180:3091 192.168.62.73:445 SYN_SENT TCP 192.168.221.180:3092 192.168.222.141:445 SYN_SENT TCP 192.168.221.180:3093 192.168.84.67:445 SYN_SENT TCP 192.168.221.180:3094 192.168.108.118:445 SYN_SENT TCP 192.168.221.180:3095 192.168.224.10:445 SYN_SENT TCP 192.168.221.180:3096 192.168.122.46:135 SYN_SENT TCP 192.168.221.180:3097 192.168.169.113:135 SYN_SENT 対象ホストから複数のホストに対 して、Port135,445へのアクセスを 確認する。 16© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  17. 17. ③Tripwireによる解析 ∼ホストレベル∼ Tripwire(http://www.tripwire.co.jp/) ファイルやディレクトリの改竄を検知する Tripwire 整合性チェックレポート バージョン 4.0.0 Tripwire(R) for Servers バージョン 4.5.0.178 レポート生成者 : Administrator レポート作成日付 : 2004年11月20日 08:01:15 データベース最終更新日付 : 未更新 =============================================================================== レポート要約 : =============================================================================== ホスト名 : ISS001 ホスト IP アドレス : 192.168.221.180 ホスト ID : S-1-5-21-1390067357-362288127-839522115 使用ポリシーファイル : C:¥Program Files¥Tripwire¥TFS¥policy¥tw.pol 使用設定ファイル : C:¥Program Files¥Tripwire¥TFS¥bin¥tw.cfg 使用データベースファイル : C:¥Program Files¥Tripwire¥TFS¥db¥database.twd 使用コマンドライン : tripwire -m c 17© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  18. 18. ③Tripwireでの確認 ∼ホストレベル∼  ------------------------------------------------------------------------------- セクション : Windows File System ------------------------------------------------------------------------------- ルール名 重要度レベル 追加 削除 変更 --------- -------------- ----- ------- -------- * Critical System Startup files 1000 0 0 1 (C:¥) * OS Support Files 35 0 0 1 * System32 Folder 100 15 0 15 * Network Configuration Files 100 0 0 2 Critical Drivers 35 0 0 0 System Folder 35 0 0 0 (C:¥WINNT¥System) Program Files Folder 35 0 0 0 (C:¥Program Files) * Tripwire for Servers Configuration Files System32 Folderの 1000 1 0 0 Tripwire for Servers Executables 下に新規に追加された 1000 0 0 0 15個のファイルを確認 Tripwire for Servers Log and Support Files 1000 0 0 0 Temporary Files Folder 15 0 0 0 スキャン済みオブジェクト総数 : 6,408 発見された総侵害箇所 : 35 18© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  19. 19. ③Tripwireでの確認 ∼ホストレベル∼  ------------------------------------------------------------------------------- セクション : Windows Registry ------------------------------------------------------------------------------- Service Registry ルール名 重要度レベル 追加 削除 変更 25個の追加を確認 --------- -------------- ----- ------- -------- Hardware keys 35 0 0 0 * Service Registry Keys 100 25 0 10 Critical Tripwire Registry keys 1000 0 0 0 * Critical Security Account Keys 1000 0 0 1 * Security Information keys 100 0 0 1 Local Admin Activity 1000 0 0 0 (HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F4) * Local Admin Login 1000 0 0 1 (HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F4¦F) Local Admin Password Change 1000 0 0 0 (HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F4¦V) System Startup * Guest Account Activity 1000 0 0 1 11個の追加を確認 (HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F5) * System Startup Executables 1000 11 0 0 Critical System Registry Keys 100 0 0 0 Software keys 35 0 0 0 Current User Registry keys 15 0 0 0 Class keys 35 0 0 0 スキャン済みオブジェクト総数 : 27,467 発見された総侵害箇所 : 50 19© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  20. 20. まとめ ∼ホストレベル∼ ホストレベルの場合は、影響が表面化し た段階で発見される。 攻撃手法がわからない 20© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  21. 21. 監視範囲 ∼セグメントレベル∼セグメント単位 REMOTE/MOBILE ID/PS COMPUTING - IDS/IPS REMOTE OFFICE ID/PS ID/PS Management ID/PS ID/PS ID/PS Firewall Management CORPORATE INTRANET ID/PS PARTNER EXTRANET ID/PS ID/PS 21© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  22. 22. 発見事例 ∼セグメントレベル∼セグメント単位 REMOTE/MOBILE ID/PS COMPUTING FW - IDS/IPS REMOTE OFFICE ID/PS FW ID/PS Management FW ID/PS ID/PS ID/PS Firewall Management FW CORPORATE INTRANET ■環境 日時:2005年01月1日∼3日 FW ID/PS PARTNER EXTRANET ID/PS OS:Windows2000(IISサーバ) ID/PS IP:192.168.221.180 ▼事例 Blasterワームの感染事例 22© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  23. 23. IDS/IPS ∼セグメントレベル∼ SiteProtector(http://www.isskk.co.jp/product/SiteProtector.html) ネットワーク、サーバ、デスクトップそれぞれに導入されている防御システムの管 理を一元化し、セキュリティ管理作業にすばやく優先順位をつけ、危険度が高く、 実際に影響があるイベント対応を最優先させることが可能な統合管理ツール 23© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  24. 24. 侵入検知システムによる確認 ∼セグメントレベル∼ 2005年1月1日∼3日間の侵入検知シ ステムよる検知状況である。 不正侵入を発見するには、検知件数 が多く、判別が困難である。 24© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  25. 25. 不正侵入を発見するポイント ∼セグメントレベル∼ 攻撃側 メーカ / セキュリティベンダ / 他 効率的に不正侵入を発見するには、 悪性プログラム作成 情報交換 ①∼④の挙動を確認する事が重要で セキュリティホールの発見 パッチの解析 ある。確認するには、Analysis Viewを利用すると良い。 メーカー等への通知 ①攻撃 非 ①攻撃 公 攻 開 撃 パッチの作成 サ イ ク ②悪性プログラム ②悪性プログラム ④スキャン ④スキャン ル のダウロード のダウロード パッチの未適用 サーバ ③レジストリ修正 ③レジストリ修正 バックドアの作成 バックドアの作成 パッチの適用 •ワーム作者、ハッカー •動機ある者 25© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  26. 26. Analysis Viewの活用 ∼セグメントレベル∼「Advanced Filter」の項目で、フィルタすべき条件項目を指定することをAnalysis Viewという。カスタマイズの方法としてはSite Managerのメニューから[ Analysis ] --> [ Add / Remove Data Columns... ] を選択します。表示している項目を更に追加/削除したり、フィルタイリングの条件を指定することができる。 Analysis View 26 © 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  27. 27. ①攻撃(Analysis View) ∼セグメントレベル∼ 攻撃側 ①のポイントでは、不正侵入が メーカ / セキュリティベンダ / 他 成功したか判断できない。 悪性プログラム作成 情報交換 判断するには、②∼④の挙動を セキュリティホールの発見 パッチの解析 確認する必要がある。 但し、監視ネットワークを送信 ①攻撃 元とした攻撃が発生している場 メーカー等への通知 非 ①攻撃 (ワーム) (ワーム) 合は、既に不正侵入が成功した 公 攻 開 撃 可能性がある。 サ パッチの作成 イ ク ②悪性プログラム ④スキャン ル のダウロード パッチの未適用 サーバ ③レジストリ修正 バックドアの作成 パッチの適用 •ワーム作者、ハッカー •動機ある者 27© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  28. 28. ①攻撃(Analysis View) ∼セグメントレベル∼ 危険際の高い攻撃を確認するには、 Tag Nameに[*Bo][*Overflow]を追加する。 28© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  29. 29. Analysis Viewによる表示 ∼セグメントレベル∼ 危険性の高い攻撃のみをレポートす る事ができる。 29© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  30. 30. Analysis Viewによる表示 ∼セグメントレベル∼ 監視セグメントが明確な場合は、 SourceIPの一覧を表示させる。 そして、リストの中に監視セグメントの IPアドレスが含まれていないか確認を 行う。 30© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  31. 31. ワーム(Analysis View) ∼セグメントレベル∼ ワームの活動を確認するには、Tag Nameに [MSRPC_LSASS_Bo][SQL_SSRP_Slammer_Worm] [MSRPC_RemoteActivate_Bo]などを追加する。 31© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  32. 32. Analysis Viewによる表示 ∼セグメントレベル∼ Source Countより、Target Countの方が 多く検知されている場合は、ワームなどに 感染した可能性がある。 その為、管理者がホストレベルでの調 査を行う必要がある。 32© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  33. 33. Analysis Viewによる表示 ∼セグメントレベル∼ 33© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  34. 34. 不正侵入を発見するポイント ∼セグメントレベル∼ 攻撃側 メーカ / セキュリティベンダ / 他 悪性プログラム作成 情報交換 セキュリティホールの発見 パッチの解析 ②のポイントでは、脆弱性を利用さ れ、任意のコマンドが実行された可 メーカー等への通知 ①攻撃 能性がある。 非 公 攻 開 撃 パッチの作成 サ イ ク ②悪性プログラム ②悪性プログラム ④スキャン ル のダウロード のダウロード パッチの未適用 サーバ ③レジストリ修正 バックドアの作成 パッチの適用 •ワーム作者、ハッカー •動機ある者 34© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  35. 35. ②ダウロード(Analysis View) ∼セグメントレベル∼ 悪性プログラムのダウンロードを確認するには、 Tag Nameに[FTP_Get][TFTP_Get]などを 追加する。 35© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  36. 36. Analysis Viewによる表示 ∼セグメントレベル∼ TFTP経由でダウロードが行われて いる事がわかる。 現状では、TFTPを利用した感染が 一般的である。しかし、UNIX系の 侵入事例などでは、昨年からHTTP を利用した事例が増えている。 36© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  37. 37. 不正侵入を発見するポイント ∼セグメントレベル∼ 攻撃側 メーカ / セキュリティベンダ / 他 悪性プログラム作成 情報交換 セキュリティホールの発見 パッチの解析 ③のポイントでは、不正アクセスが 既に成功した可能性がある。 メーカー等への通知 ①攻撃 非 公 攻 開 撃 パッチの作成 サ イ ク ②悪性プログラム ④スキャン ル のダウロード パッチの未適用 サーバ ③レジストリ修正 ③レジストリ修正 バックドアの作成 バックドアの作成 パッチの適用 •ワーム作者、ハッカー •動機ある者 37© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  38. 38. ③バックドア(Analysis View) ∼セグメントレベル∼ バックドアなどのリモートからのアクセスを確認す るには、Tag Nameに[*Request][*Response] [SSH*][Telnet*]を追加する。 38© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  39. 39. ③バックドア(Analysis View) ∼セグメントレベル∼ リモートアクセスが実行されている場合 は、送信先、送信元について調査を行う 必要がある。意図した通信でない場合は、 管理者がホストレベルでの調査を行う必 要がある。但し、一般的に管理者がすべ ての通信を把握している事は稀である為、 発見は難しい。 39© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  40. 40. 不正侵入を発見するポイント ∼セグメントレベル∼ 攻撃側 メーカ / セキュリティベンダ / 他 悪性プログラム作成 情報交換 セキュリティホールの発見 パッチの解析 ④のポイントでは、被害者か ら加害者になる。ネットワー メーカー等への通知 ①攻撃 非 ク回線が重いなど、影響が表 公 攻 面化する。 開 撃 パッチの作成 サ イ ク ②悪性プログラム ④スキャン ④スキャン ル のダウロード パッチの未適用 サーバ ③レジストリ修正 バックドアの作成 パッチの適用 •ワーム作者、ハッカー •動機ある者 40© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  41. 41. ④スキャン(Analysis View) ∼セグメントレベル∼ スキャン行為を解析するには、Tag Nameに [TCP_Network_Scan][TCP_Service_Sweep] [Telnet_Abuse]を追加する。 41© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  42. 42. ④スキャン(Analysis View) ∼セグメントレベル∼ Source Countより、Target Countの方が多 く検知されている場合は、送信元ホストで ワームなどに感染した可能性がある。 その為、管理者がホストレベルでの調査を 行う必要がある。スキャンは、検知件数に ピークが発生する為、安易に発見できる。 42© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  43. 43. 疑問 ∼セグメントレベル∼ UNIXの場合はどうなの? ワーム以外の攻撃は? 43© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  44. 44. Case Study1 ∼セグメントレベル∼セグメント単位 REMOTE/MOBILE ID/PS COMPUTING - Firewalls FW - IDS/IPS REMOTE OFFICE ID/PS ID/PS FW ID/PS Management FW ID/PS ID/PS ID/PS Firewall Management FW ■監視環境 CORPORATE INTRANET 日時:2004年12月21日∼28日 FW ID/PS PARTNER EXTRANET ID/PS OS:RedHat(Apacheサーバ) ID/PS IP:192.168.221.180 ▼事例 攻撃からフィッシングサイト構築まで 44© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  45. 45. Case Study1 ∼セグメントレベル∼ 2004年12月21日∼28日 の侵入検知システムに よる検知状況である。 45© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  46. 46. Case Study1(時系列1) ∼セグメントレベル∼ ①攻撃 12/23 0:11∼0:13 経過時間 2分 ②ダウンロード 12/23 0:14∼0:14 経過時間 3分 46© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  47. 47.  Case Study1(時系列1) ∼セグメントレベル∼ 悪性プログラムが 保存されている サイト 47© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  48. 48. Case Study1(時系列2) ∼セグメントレベル∼ ③バックドア 12/23 0:25∼ 経過時間 14分 メール送信を確認 12/23 0:26∼0:26 経過時間 15分 48© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  49. 49. Case Study1(時系列2) ∼セグメントレベル∼ ユーザのパスワード情報 などをフリーメールへ転送 49© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  50. 50. Case Study1(時系列3) ∼セグメントレベル∼ ④スパムメール 12/24 21:45∼ 経過時間 45:34 50© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  51. 51. Case Study1(時系列3) ∼セグメントレベル∼ フィッシングメール 51© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  52. 52. 実践偏 ∼セグメントレベル∼ とりあえず発見手法を試してみよう    でも不安 52© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  53. 53. Case Study1(①攻撃) ∼セグメントレベル∼ 検知した攻撃は、監視セグメントの IPアドレスは含まれていなかった。 53© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  54. 54. Case Study1(②ダウロード) ∼セグメントレベル∼ 悪性プログラムのダウロードを確認 3.txt 2.txt Pulamea.tgz Armand.tgz 電子メール ルートキット フィッシングサイト 54© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  55. 55. Case Study1(③バックドア) ∼セグメントレベル∼ このアクセスは、攻撃者がバックド ア(SSH)へ接続している様子である。 Port121は、攻撃者によって作成され たバックドアである。 55© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  56. 56. Case Study1(④スキャン) ∼セグメントレベル∼ このアクセスは、攻撃者 が複数のアドレスに対し て、メールを送信してい る様子である。 56© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  57. 57. まとめ ∼セグメントレベル∼ セグメントレベルの場合は、攻撃の初期 段階から発見することができる。 57© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  58. 58. 監視範囲 ∼企業レベル∼企業単位 REMOTE/MOBILE ID/PS COMPUTING - Firewalls - ID/PS 24×365 FW REMOTE OFFICE ID/PS FW ID/PS Management FW ID/PS ID/PS ID/PS Firewall Management FW CORPORATE INTRANET FW ID/PS PARTNER EXTRANET ID/PS ID/PS 58© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  59. 59. まとめ ∼企業レベル∼ 脆弱性情報やワーム情報などの情報収集 が必要である。 攻撃の初期段階で迅速に対応する必要が ある。 24時間365日の対応が必要である。 59© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  60. 60. 監視範囲 ∼グローバルレベル∼ REMOTE/MOBILE COMPUTING REMOTE OFFICE CORPORATE INTRANET PARTNER EXTRANET 60© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  61. 61. インターネット上の脅威分析 ∼グローバルレベル∼ 宣伝です 総合分析 社会動性 US SOC テロや紛争など インターネットリスクレベル GTOC X-Force Global Threat Analysis Center 分析情報配信 X-Force 監視・防御シグネチャを提供 SOC 新しい脆弱性の発見 世界 5 箇所のSOCで検知されたイベント状況により連動 新しい攻撃手法、ツール X-FORCEは常に最新のシグネチャをリアルタイムに提供 ハッカーの動性 日本語・英語によるオペレータ対応ー海外拠点を持つ企業 High Risk Advisories 1998-2003 各国のSOC 61© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.
  62. 62. Case Study2 ∼グローバルレベル∼ 監視側 (非公開情報) メーカ / セキュリティベンダ / 他 日時:2004年4月27日(火曜日) セキュリティホールの発見 各拠点に設置されたセンサーか〱

×