マルウェアサマリー↓
マルウェア名:「Stuxnet」
カテゴリー:「ワーム」
OS:「Windows..クライアント/サーバ」
発見履歴↓
※2010年7月真中: ルートキット、ワーム、トロイドロッパーの機能発見
※7月22日から:暗号化機能発見
※7月30日から:ワームのEPIDEMICのピーク時期
カテゴリー:「ワーム」
OS:「Windows..クライアント/サーバ」
発見履歴↓
※2010年7月真中: ルートキット、ワーム、トロイドロッパーの機能発見
※7月22日から:暗号化機能発見
※7月30日から:ワームのEPIDEMICのピーク時期
マルウェアの説明↓
現在言われている「Stuxnet」ワームはWindowsOSのSHELL実行のバグ情報を使われて、インターネットで沢山発見されているワームです。「Stuxnet」ワームのディストリビューション仕方はメールの添付とマルウェアウェブページです。
実は7月真中の時にはじめて本件のワームバイナリーが発見されました。
その時にワームの機能が未だ無くてルートキットの形でした。
その後、ルートキットからワームの機能を追加されて、Windows SHELLのセキュリティ問題を乗られて沢山感染実験がレポートされました。
実は7月真中の時にはじめて本件のワームバイナリーが発見されました。
その時にワームの機能が未だ無くてルートキットの形でした。
その後、ルートキットからワームの機能を追加されて、Windows SHELLのセキュリティ問題を乗られて沢山感染実験がレポートされました。
マルウェアの動き説明↓
「Stuxnet」ワームはリムーバブルデバイスの「autorun.inf/自動実行」経由のマルウェアです。感染のトリッガーはリムーバブルデバイスをさした時です。感染されたらルートキットのステルス機能の動きが始まり、最初の頃では中々検知しにくいでした。
一番流行った時期はMicrosoft Windows Shellのバグをアナウンスした後です。その時に「Stuxnet」ワームがWindowsショットカット「.LNK」のファイルを使って、SHELLを実行してUSBドライブ感染仕組みが結構流行りました。
一番流行った時期はMicrosoft Windows Shellのバグをアナウンスした後です。その時に「Stuxnet」ワームがWindowsショットカット「.LNK」のファイルを使って、SHELLを実行してUSBドライブ感染仕組みが結構流行りました。
マルウェアの名前敵に、色々がありメージャーメーカーのマルウェア名は下記とたります↓
W32.Stuxnet (Symantec)
W32/Stuxnet.A (Norman)
TrojanDropper:Win32/Stuxnet.A (Microsoft)
Trojan-Dropper.Win32.Stuxnet.xx (Kaspersky)
Stuxnet (McAfee)
W32/Stuxnet.A (Norman)
TrojanDropper:Win32/Stuxnet.A (Microsoft)
Trojan-Dropper.Win32.Stuxnet.xx (Kaspersky)
Stuxnet (McAfee)
詳細な感染仕方説明↓
USBデバイスを繋がった時にStuxnetワームが「.LNK」ショットカットファイルを作りました。クリックされたらWindowsSHELLを実行されて2う種類ルートキットマルウェアをパソコンの「System32\drivers\」にインストールされてしまいます、ルートキットのファイル名は↓
Mrxnet.sys - 又は 「W32/Stuxnet.E」
mrxcls.sys - 又は 「W32/Stuxnet.D」
mrxcls.sys - 又は 「W32/Stuxnet.D」
ルートキットが実行されたらSTUXNETマルウェアをパソコンにインストールが始まり、下記のレジストリーに追加されております↓
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls "ImagePath"
Data: \??\C:\WINDOWS\system32\Drivers\mrxcls.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet "ImagePath"
Data: \??\C:\WINDOWS\system32\Drivers\mrxnet.sys
Data: \??\C:\WINDOWS\system32\Drivers\mrxcls.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet "ImagePath"
Data: \??\C:\WINDOWS\system32\Drivers\mrxnet.sys
上記のコマンドの意味は毎回WindowsOSを実行したらMrxnet.sysとmrxcls.sysのマルウェアドライバーをコールする事が出来ます。
Stuxnetワームも下記の暗号されたマルウェアファイルを「windows\inf」フォルダーにコピーしてしまいます。
Mdmcpq3.PNF、Mdmeric3.PNF、Oem6c.PNF、Oem7a.PNF
注意点は上記のファイルをスキャンしたらマルウェアじゃないとの結果になります※
Stuxnetワームが色んな暗号化認証を使っています、最新発見された認証ファイルは下記となります↓
繋がったリムーバブルドライブに下記のマルウェアファイルをコピーされてしまいます↓
「~wtr(xxxx).tmp」
「~wtr[xxxx].tmp」
コピー(xxxx).LNK
コピーのコピー(xxxx).LNK
「~wtr[xxxx].tmp」
コピー(xxxx).LNK
コピーのコピー(xxxx).LNK
STUXNETワームの種類によりますが、バックドアTCPポートを開いたケースもあります、バックドアワーム機能が持っています。
解決方法は↓
WindowsOSのSHELLバグのセキュリティアップデートをインストールが必要、アクセスはこちらです。感染されたパソコンについてマルウェア対策ソフトでスキャンが必要です。
本件についてのURLリファレンス(有名なアドバイサリーのみ)↓
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
http://isc.sans.edu/diary.html?storyid=9181
http://isc.sans.edu/diary.html?storyid=9190
http://www.kb.cert.org/vuls/id/940193
http://www.securityfocus.com/bid/41732
http://secunia.com/advisories/40647
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
http://isc.sans.edu/diary.html?storyid=9181
http://isc.sans.edu/diary.html?storyid=9190
http://www.kb.cert.org/vuls/id/940193
http://www.securityfocus.com/bid/41732
http://secunia.com/advisories/40647
---
http://0day.jp
マルウェアリサーチ
アドリアン・ヘンドリック
0 件のコメント:
コメントを投稿