Cisco Security Agent および Microsoft Win32/Nuwar.N（Storm Trojan）エクスプロイト

概要

Win32/Nuwar.N@MM!CME-711 は、E メール経由でトロイの木馬を送信する大量メール送信型のワームです。このエクスプロイトは、Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、および Windows XP オペレーティングシステムに影響を与えます。このワームがはじめて検出されたのは、2007 年 1 月 19 日です。このエクスプロイトを表す名前は、アンチウイルスベンダーによって異なります。CME-711、W32/Downloader.AYDY（F-Secure 社）、Troj/DwnLdr-FYD（Sophos 社）、Trojan.Peacomm（Symantec 社）, Win32/Pecoan、Win32/Pecoan.B、Win32/Pecoan.E、Win32/Pecoan.F、Win32/Pecoan.G、および Downloader-BAI.sys!M711（McAfee 社）

この脆弱性を悪用したさまざまな攻撃がすでに出回っています。シスコシステムズはエクスプロイトファイルを入手し、Cisco Security Agent でデフォルトのセキュリティポリシー設定を使用することで、これらのエクスプロイトを阻止する効果があることを確認しました。現在サポート中のバージョンである Cisco Security Agent 4.0.3.x、4.5.1.x、5.0.0.x、および 5.1.0.x は、今までに確認されているエクスプロイトを防ぐうえで効果的です。

脆弱性の詳細情報

トロイの木馬が添付されているファイルを開くと、E メールのワームコンポーネントのコピーがダウンロードされます。この E メールコンポーネントは、暗号化されています。E メールコンポーネントは wincom32.sys を投下し、インストールします。wincom32.sys は、ロードされて dll に感染し、services.exe のメモリプロセスを検索します。dll には、さまざまな UDP ポートをスキャンして、感染したほかのコンピュータとの Peer-to-Peer（P2P）ネットワークを構築し、ダウンロードおよびアップデートを実現する機能が含まれます。この P2P ネットワークは、その後悪意のあるユーザによって使用され、ダウンロードおよび実行するファイルの情報が抽出されます。また、追加ピアの情報を抽出し、収集した情報で独自のピアリストファイルをアップデートします。ダウンロードされたほかの既知のコンポーネントは、Win32/Nuwar の変種です 1。

Win32/Nuwar.N@MM!CME-711 で構成される E メールには、次の特徴があります。

件名（次のいずれか 1 つ）
- 230 dead as storm batters Europe.
- A killer at 11, he's free at 21 and kills again!
- British Muslims Genocide
- Naked teens attack home director.
- Re: Your text
- Russian missile shot down USA satellite
- U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel.
本文
- 空白
添付ファイルの名前
- FullClip.exe
- Full Story.exe
- FullVideo.exe
- Read More.exe
- Video.exe

Cisco Security Agent によるエクスプロイトの阻止

Cisco Security Agent のデフォルトポリシーには複数のルールが含まれており、エクスプロイトによる被害を回避できます。こうした保護を実行するために、Cisco Security Agent のバイナリを更新したり、デフォルト設定を変更する必要はありません。

デフォルトのセキュリティポリシーを適用した Cisco Security Agent では、以下のアクションがブロックされることが確認されています。

最近ダウンロードされたアプリケーションによるシステムファイルのアクセス
信頼できないリモートアプリケーションによるシステムファイルの修正
バッファオーバーフローによる、バッファからのシステム機能の実行
カーネル機能の変更
さまざまな UDP ポート（UDP ポート 137、53、6121、18559、2581、3620）上でのクライアントアクセスの開始

図 1 および図 2 に、このテスト結果を示します。

注：シスコでは、エージェントをテストモードにしてエクスプロイトをテストしました。テストモードでは、悪意のある振る舞いに対し警告を発行します（ブロックはしません）。このテストにより、Cisco Security Agent のデフォルトポリシーを設定した状態で、エクスプロイトを阻止するすべての方法が監視されることを確認しました。エージェントをプロテクトモード（一般的な動作設定）にすると、最初のルールによってエクスプロイトが阻止されます。エクスプロイトは悪意ある動作を実行する前に処理され、以降のイベントは発生しません。

テストは、Cisco Security Agent のデフォルトポリシーに対して実施しました。Cisco Security Agent を有効に機能させるために、バイナリまたはポリシーの更新は必要ありませんでした。つまり、文字通りの「Day Zero」保護のテストだと言えます。シスコでは、過去のエクスプロイトおよびワームの場合と同様に、バイナリまたはポリシーの更新を実行することなく、Cisco Security Agent のデフォルト設定によってエクスプロイトを阻止できることを確認しました。表 1 に、Cisco Security Agent のデフォルトのセキュリティポリシー設定によって阻止された、過去のワームおよびエクスプロイトの一部を示します。

表 1

エクスプロイト	ワーム	エクスプロイト	ワーム
Bagle	E メールワーム	SQL Snake	ネットワークワーム
Blaster	ネットワークワーム	JPEG/GDI+	マルウェアダウンローダ
Bugbear	E メールワーム	MyDoom	E メールワーム
Code Red	ネットワークワーム	Nimda	ネットワークワーム
Debploit	ネットワークワーム	Pentagone/Gonner	E メールワーム
Fizzer	E メールワーム	Sasser	ネットワークワーム
Gator/Gain	スパイウェア	Sircam	E メールワーム
Hotbar	スパイウェア	Sobig	E メールワーム
SQL Slammer	ネットワークワーム	Zotob	ネットワークワーム

今回のエクスプロイトは、組織のコンピューティング環境およびネットワーク環境に深刻な打撃を与え、発生と変化を続ける攻撃の 1 つにすぎません。このような新しい攻撃を阻止するために重要なことは、デフォルト設定に変更を加えることなく攻撃を阻止できる能力、およびデフォルトポリシー内のさまざまなルールによる多層型防御の 2 点を実現することです。

Figure 1. Cisco Security Agent のデフォルト設定による Storm Trojan エクスプロイトの阻止（Cisco Security Agent 5.1 でテストを実行）

図 1 Cisco Security Agent のデフォルト設定による Storm Trojan エクスプロイトの阻止（Cisco Security Agent 5.1 でテストを実行）
※ 画像をクリックすると、大きく表示されます。

Figure 2. Cisco Security Agent のデフォルト設定による Storm Trojan エクスプロイトの阻止（Cisco Security Agent 5.1 でテストを実行）

図 2 Cisco Security Agent のデフォルト設定による Storm Trojan エクスプロイトの阻止（Cisco Security Agent 5.1 でテストを実行）
※ 画像をクリックすると、大きく表示されます。

1 参考
1 Microsoft: http://www.microsoft.com/security/encyclopedia/details.aspx?Name=Win32/Nuwar.N@mm

Hierarchical Navigation

Cisco Security Agent