KEEP LEARNING

アウトプット至上主義

【ネットワーク】ウイルス検知できてる?

f:id:food_blog:20200518125431p:plain

本記事ではセキスペ 過去問(H.30/秋 午後I 問2)を例題として解説する中でネットワークウイルスの理解を深めます。

※IPA公式サイトから実際の問題を使用しております。 

 

1.前提知識

  • L2SW
  • L3SW 

 

2.知識のインプット

 

L2SW

f:id:food_blog:20200519091841p:plain

ハブとL2SW の大きな違いとしては受信に対する送信の方法です。

ハブは何も考えることなく全てのポートに送信することからバカハブとも呼ばれます。

一方で、L2SWはMACアドレステーブルを参照することで特定のポートに送信することが可能になります。

 

L3SW

f:id:food_blog:20200519093506p:plain

L3SWではルーティングが可能となるため、L2SWでは実現不可である、異なるネットワーク同士を繋げることが可能となります。
 

ミラーポートとネットワークタップ

f:id:food_blog:20200519130312p:plain

どちらも、パッケトを監視できる機能ではあるが、ネットワークタップの場合は別の機器でスキャンを実施するので既存機器へのCPU負荷が上がりにくいメリットがあります。

 

STIX

サイバー攻撃者の行動や手口、システムの脆弱性の状況を共有するために作成された

国際標準の言語です

 

TAXII

サイバー攻撃に関する脅威情報を交換するために開発された、国際標準の言語です。

 

3.背景

 

2017年にWannaCryワームによる世界規模でのシステム障害が発生した。

短時間でネットワーク内の多数の端末に感染するようなワームに対し、迅速に対応できる人材の必要性が再認識された。

 

 

4.過去問の要約

 

f:id:food_blog:20200520084418p:plain

L3SWには、スイッチの特定のポートを流れるパケットを、ミラーポートという別の物理ポートにミラーリングする機能があり、ネットワーク障害時にパケットを取得する用途でも使われている。L3SWでは、FWに接続している1Gビット/秒の物理ポートを流れるイントアウトのパケットをNSMセンサに接続している10Gbps のミラーポートにミラーリングしている。

 

ミラーポートに流れる通信量は、全2重1Gbpsの1ポートの送受信をミラーリングする場合、最大2Gbpsとなる。L3SW及びL2SWは、VLANをサポートしている機器であるが、G社ではVLANを設定していない。VLANを設定する場合、L3SWではIEEE802.1QのVLANタグを付与した状態でミラーリングできるので障害が発生した VLANを識別できる。ミラーポートを使用せずにパケットを取得する方法として、ネットワークタップを使用する方法もある。

 

f:id:food_blog:20200520090530p:plain

宛先ポート別の件数で、445/TCPのコネクション件数が普段と比べて非常に多かった。

セキュリティ機関から、ワームVに関する注意喚起を受け、ワームVが原因であると仮定し、分析を進めた。送信元IPアドレス別の件数では、10.100.130.1の件数が普段と比較して、非常に多かった。宛先IPアドレス別の件数では、ファイルサーバやWebサーバ等が件数の上位であり、普段と大きな違いはなかった。

 

ワームVが行うスキャンは、宛先IPアドレス別の件数上位に登場していない。

 

[無線LANセグメントの調査]

10.100.130.1はルータとして動作しているAPに割り当てたIPアドレスであることがわかった。APではNAPTでIPアドレスの変換をしてPCと接続していることから、APに接続しているPCがワームVに感染している可能性があると判断した。

これらのPCのIPアドレスはDHCPから排出しているのでDHCPサーバを調査することにした。

 

445/TCPのポートをスキャンしているPCを下記の通り特定した。

f:id:food_blog:20200520092023p:plain

無線LANのパケットをキャプチャしたところ、6台のPCがARPリクエストをブロードキャストで送信して、同一セグメント内のPCを探索しているを確認した。

 

セキュリティ機関からは、ワームVのインディケータ情報がSTIX形式で提供されていた。そこでそのインディケータ情報を使って、感染の有無を確認したところ6台とも感染していることがわかった。

 

必要な処置を実施後、再発防止策として、無線LANには社外に持ち出したPCを接続することが多いので、PCを持ち帰った際に接続可否を判断するためにチェックを行うことにした。

 

さらに有線LANでは、同じL2SWに接続されたPC同士のワーム感染を防ぐ対策を講じることとした。

 

5.解説

 

正常な応答がある場合に

 TCPのコネクション確立は3ウェイクハンドシェイクによって行われます。

 

3ウェイクハンドシェイク①送信元がSYN(接続してもいい?)を送信先に送ります。

次に②SYNを受け取った側がSYN(僕も接続していい?)/ACK(接続していいよ)をそうh新元に送ります。

最後に③送信元がACK(接続していいよ)この3処理でTCP通信は接続が確立されます。

 

ワームVが行うスキャンは、宛先IPアドレス別の件数上位に登場していない 

 NSMセンサがL3SWに接続されておりL2SW⇆L3SWのやり取りは監視できているもののPC⇆L2SW間のみのやり取りの場合は監視対象とならないため、件数上位に登場しなかったということになります。

 

PCを持ち帰った際に接続可否を判断するためにチェックを行う 

 PCを持ち帰った際にチェックする項目としては以下が挙げられます。

  • 最新のセキュリティ修正プログラムが適用されている
  • マルウェア定義ファイルが最新に更新されている
  • PCがマルウェアに感染していないか確認する

 

同じL2SWに接続されたPC同士のワーム感染を防ぐ 

 何も設定されていない状態では同じL2SWに接続されたPC同士は一つのセグメントに所属することになるので、VLANを設定しセグメントを分割することで互いの通信を遮断することが実現できます。

※L2SWでも製品によってはVLANを設定できるものもあります。