KEEP LEARNING

アウトプット至上主義

ウイルス感染後のインシデント対応力

f:id:food_blog:20200619223927p:plain

 本記事ではセキスペ 過去問(R.01/秋 午後I 問3)を例題として解説する中でウイルス感染後のインシデント対応力の理解を深めます。

※IPA公式サイトから実際の問題を使用しております。 

 

1.前提知識

  • C&C

 

2.知識のインプット

C&C

C&Cサーバとはマルウェアに感染してボット化したコンピュータ群(ボットネット)に指令を送り制御の中心となるサーバ

感染対象に一斉に動作を指令することが管理できるようになる

 

3.背景

 

最近の標的型メール攻撃は巧妙になっており、セキュリティ製品の導入や、利用者のリテラシを高める等をしても、被害の完全な抑止は難しい。

一般的なネットワーク構成におけるウイルス感染を題材として、ウイルスの関連知識とウイルス感染後のインシデント対応力について問う。

4.過去問の要約

f:id:food_blog:20200619213603p:plain

f:id:food_blog:20200619213700p:plain

f:id:food_blog:20200619213959p:plain

f:id:food_blog:20200619214040p:plain

f:id:food_blog:20200619214115p:plain 

5.解説

 

 (2)不審PCの電源が入っていれば、電源をいれたままにしておく

 セキュリティ分野においてデジタルフォレンジックが重要とされます。

デジタルフォレンジックとは電子機器にに残る記憶を収集、分析し、そのウイルス攻撃の証拠を明らかにすることを言います。

今回のケースだと、PCの電源を切ることで揮発性のメモリの情報が失われてしまう、つまり解析情報を正しく取得できなくなるのでPCはつけたままにしておくことが重要とされます。

 

(3)不審PCに接続しているLANケーブルを抜き、利用者LANから切り離す 

 この対応をする理由には以下の二つが挙げられます。

  • J社情報システムの感染拡大の防止
  • インターネットへの情報漏洩の防止

マルウェアはC&Cサーバと通信しているため、LANにつながっている状態だとさらなる感染拡大や、情報の漏洩リスクが高まります。

 

表3中のa〜dには以下が入ります。

a:L-PCのIPアドレス、MACアドレスなどのネットワークアダプタの詳細情報を取得する

b:L-PC内で悪用できる脆弱性を確認するために、OSのバージョンや脆弱性修正プログラムの適用状況を確認する

c:実行中のプロセス一覧を取得し、マルウェアの解析環境でないか確認する

d:L-PCからその時点でアクセス可能な端末の一覧を取得する

上記それぞれに対応するコマンドは以下になります。

a:ipconfig /all

b:systeminfo

c:tasklist

d:net view

 

本文中の空欄eには下記が入ります。

IPアドレスw1.x1.y1.z1との通信履歴

今回のマルウェアMの特徴としてはC&Cサーバと通信を行うことです。

すでにPサービスからC&CサーバのIPアドレスがw1.x1.y1.z1と判明しているので、そこへの通信履歴の有無を過去に遡って確認しておく必要があります。

 

PC又はサーバの状態によっては、FWのログを使った確認ではマルウェアMに感染していることが検知できない。 

 以下の場合、FWのログを利用した確認ができません。

感染したPCが、C&Cサーバと通信する前にネットワークから切り離された場合

 

Rログを使った確認もする必要がある 

 以下のようにRログを利用してマルウェアMを検知する方法があります。

  • PサービスからすでにマルウェアMのハッシュ値は取得済みである。
  • Rログはハッシュ値を用いてログ検索ができる

上記からマルウェアMのハッシュ値をRログから検索して検知することも可能です。