Network Worm(ネットワーク・ワーム)
§1.概要
全世界を震撼させ激怒させたWormの誕生は1988年のことでした。全世界必死の追求により、この世界最初のWormの創造主(Robert
Tappan Morris Jr.)は捕獲されましたが、それまでに数多くのBSD、UNIXマシンが被害を蒙りました。
この後、世界中に損害を与えたことで末代まで語り継がれるであろうWorm(Blaster、Code Red、Loveletter、Melissa、MyDoom、Sasser、Sober)が産み出されることになります。
コンピュータWormはウィルスとは一線を画しています。古典的(複合化されていない)Wormは、それ自身の複製を作成しますが、ファイルに感染するよ うなことはありません。また、ファイルを巧みに取り扱うこともしません。Wormは単独で稼動するプログラムです。WormはPCからPCに乗り移ってい きます。一つのPCに自分自身をロードさせたWormは幾つかのクローンを産み落とします。これらクローンは、それぞれ暢気な放浪者のようにPCからPC に乗り移っていきます。 Wormの機能
パケットワームの拡散手段はネットワークパケットで、直接生贄のマシンのRAMに侵入しコードを実行します。 Wormの侵入手段 Wormは上述の拡散方法を用いて各コンピュータの門前まで到達するわけですが、各コンピュータの内部に入らなければその能力を発揮できません。では、 Wormはどうやってこのゲートを突破するのでしょう?
いずれにしても、拡散手段はE-Mailです。 E-Mailワームは通常以下の拡散手法を用います。
Jituxワームを持ち出すまでもないと思いますが、インスタントメッセージアプリケーションは個人の認識の如何を問わず、Wormをサイバー世界に燎原 の火のごとく拡散させることが可能です。この種のWormとリンクを送信するE-Mail Wormの相違は、リンクを送信するために選択したメディアが違うことだけです。 §4.Internet Worms(インターネットワーム) インターネットワームは拡散するために以下のテクニックを使用します。
この種のWormのターゲットはチャットです。IRC Worms(IRCワーム)は、Internetワーム同様の拡散方法も使用します。感染したWebサイトのリンクや、感染したユーザから取得した宛先に 対し感染したファイルを送信します。
インスタントメッセージアプリケーション同様、個人の認識の如何を問わず、Wormをサイバー世界に一気に拡散させることが可能です。 §6.File-Sharing Networks Worms (ファイル共有ネットワークワーム) WinMX等を使用してファイル交換している場合に感染する、いわゆるP2Pワームです。P2Pワームは通常ローカルマシン上に存在し、共有フォルダに自 分自身をコピーします。P2Pワームは一度でも共有フォルダ中に無害な名前を装ってそれ自身のコピーに成功すると、P2PワームがP2Pネットワークを引 き継ぐことになります。ネットワークは他のユーザに新しいリソースを知らせ、他のユーザがそれをピックアップしてくれるのをじっと待っています。もし、 フォルダが存在しなければP2Pワームは、そのフォルダさえ作成します。そして、P2Pユーザがこのファイルをピックアップすることで感染ファイルを実行 します。
Axamワームはこのような遠まわしな行動で悪意ある人々から最高の栄誉を勝ち得ています。
この後、世界中に損害を与えたことで末代まで語り継がれるであろうWorm(Blaster、Code Red、Loveletter、Melissa、MyDoom、Sasser、Sober)が産み出されることになります。
コンピュータWormはウィルスとは一線を画しています。古典的(複合化されていない)Wormは、それ自身の複製を作成しますが、ファイルに感染するよ うなことはありません。また、ファイルを巧みに取り扱うこともしません。Wormは単独で稼動するプログラムです。WormはPCからPCに乗り移ってい きます。一つのPCに自分自身をロードさせたWormは幾つかのクローンを産み落とします。これらクローンは、それぞれ暢気な放浪者のようにPCからPC に乗り移っていきます。 Wormの機能
- ・ マシンをリモートコントロールする。
- ・ 生贄となったマシン上でコピーを作成する。
- ・ 新しいマシンに拡散する。
-
E-Mail、インスタントメッセージ、ファイル共有(P2P)、IRCチャンネル、LAN、WAN等
- ・ 大部分のWormはメール添付ファイルとして侵入を試みる。
- ・ IRC、ICQメッセージ中のファイルとして侵入を試みる。
- ・ 感染させるためのWebサイトやFTPサーバー上に保存されているファイルへのリンクとして侵入を試みる。
- ・ P2Pネットワーク等を経由してアクセスしたファイルとして侵入を試みる。
パケットワームの拡散手段はネットワークパケットで、直接生贄のマシンのRAMに侵入しコードを実行します。 Wormの侵入手段 Wormは上述の拡散方法を用いて各コンピュータの門前まで到達するわけですが、各コンピュータの内部に入らなければその能力を発揮できません。では、 Wormはどうやってこのゲートを突破するのでしょう?
- ・ E-Mail本文中に添付ファイルを開くように甘い罠を仕掛ける。
- ・ 外部ネットワークからアクセスするためにローカルマシンを開いたままにしているネットワークを狙う。
- ・ OSとアプリケーションの脆弱性を狙う。
- ・ E-Mail Worms(E-Mailワーム)
- ・ Instant Messaging Worms(インスタントメッセンジャーワーム)
- ・ Internet Worms(インターネットワーム)
- ・ IRC Worms(IRCワーム)
- ・ File-sharing Networks Worms (ファイル共有ネットワークワーム)
いずれにしても、拡散手段はE-Mailです。 E-Mailワームは通常以下の拡散手法を用います。
- ・ Worm中のSMTP APIライブラリを使用しSMTPサーバーに直接接続する。
- ・ MS Outlook サービス。
- ・ Windows MAPI 機能(Windows上で電子メール機能を扱うための仕様)。
- ・ MS Outlookアドレスブックをスキャンする。
- ・ アドレス帳、アドレスデータベースをスキャンする。
- ・ Worm側が適切と認めるテキストベースでメールアドレスが含まれるそうな拡張子を持つファイルをスキャンする。例えば、 ".html"。
- ・ メールボックスにある全てのメールに対しWormそれ自身のコピーを送信する。
Jituxワームを持ち出すまでもないと思いますが、インスタントメッセージアプリケーションは個人の認識の如何を問わず、Wormをサイバー世界に燎原 の火のごとく拡散させることが可能です。この種のWormとリンクを送信するE-Mail Wormの相違は、リンクを送信するために選択したメディアが違うことだけです。 §4.Internet Worms(インターネットワーム) インターネットワームは拡散するために以下のテクニックを使用します。
- ・ ネットワークリソースにWormをコピーする。
ワームは遠隔のマシンに位置していて、書きこみ権限のあるネットワークリソースに自身をコピーします。そして、ローカルなOSサービスを使用して利用可能 な全てのネットワークリソースのスキャンや脆弱性のあるマシンをインターネットでスキャンします。このようにして発見したマシンに接続を試み完全な制御を 獲得します。 - ・ コンピュータもしくはネットワークに侵入するために
OSの脆弱性を利用する。
ワームはインターネットでパッチのあたっていないマシンを探します。即ち、未だ開発することが可能な深刻な脆弱性を持っているOSを探すわけです。ワーム はデータパケットを送信します。もしくはワームのボディーかダウンローダ機能を含むワームのソースコード部分のどちらかをインストールする要求を送信しま す。このコードが成功裏にインストールされたなら、次にワームの主要なボディーがダウンロードされます。いずれにしろ、この種のワームは一度インストール されればそのコードを繰り返し実行します。 - ・ 公共のネットワークへの侵入。
感染は二段階で行われます。第一段階として静的Webページのようなファイルサーバー上のサービスファイルに侵入します。第二段階として、クライアントが 感染したファイルにアクセスすることをじっと待っています。そして、このファイルがピックアップされると個別のマシンを攻撃します。生贄となったマシンは 更なる攻撃のための発射台として使用されることになります。 - ・ Piggy-backing(便乗) : Worm
を運ぶ能力を持った他のマルウェアを使用する。
ウィルス製作者の中には新たなWormの拡散にワームやトロイの木馬を使用する者がいます。この種のWormの製作者は生贄のマシンにバックドアがインス トールされたことを確認します。バックドアをインストールされてゾンビと化したマシンはファイルをダウンロードし実行することを命令されます。
この種のWormのターゲットはチャットです。IRC Worms(IRCワーム)は、Internetワーム同様の拡散方法も使用します。感染したWebサイトのリンクや、感染したユーザから取得した宛先に 対し感染したファイルを送信します。
インスタントメッセージアプリケーション同様、個人の認識の如何を問わず、Wormをサイバー世界に一気に拡散させることが可能です。 §6.File-Sharing Networks Worms (ファイル共有ネットワークワーム) WinMX等を使用してファイル交換している場合に感染する、いわゆるP2Pワームです。P2Pワームは通常ローカルマシン上に存在し、共有フォルダに自 分自身をコピーします。P2Pワームは一度でも共有フォルダ中に無害な名前を装ってそれ自身のコピーに成功すると、P2PワームがP2Pネットワークを引 き継ぐことになります。ネットワークは他のユーザに新しいリソースを知らせ、他のユーザがそれをピックアップしてくれるのをじっと待っています。もし、 フォルダが存在しなければP2Pワームは、そのフォルダさえ作成します。そして、P2Pユーザがこのファイルをピックアップすることで感染ファイルを実行 します。
Axamワームはこのような遠まわしな行動で悪意ある人々から最高の栄誉を勝ち得ています。