4.1.1と4.1.2

PC

不穏なタイトルですが、そのまんまです。
とある休みの日、うだうだと二度寝などを楽しんでおりましたら、急に携帯の着メール音がなりました。監視用のメールは音を変えてあったのですぐ気づき、むくりと起きあがって内容を確認。
すると、私がそのメールをチェックしているすぐ横で動いているサーバの異常を示すメールでした。
ハブを見ると、対攻撃用に外部暴露&隔離しているサーバとルータのアクセスランプが点きっぱなし。あまりに高出力のアクセスで他のサービスが止まってしまっているのは容易に想像できました。
すぐにそのサーバの画面を見ますと、インストールした記憶のないソフトが起動してホストスキャンを行っている模様。と、その画面を注意深く見ていたら不意にカーソルが動くんですよ。普通に。攻撃者がVNCのバージョンを確認したり、動かしているスキャナの設定を確認したりするのを、目の前で見てしまった時の興奮 衝撃といったら・・・!
画面ごと相手の管理下にあるので、管理用に入れておいたRealVNC脆弱性を突かれた!と判断。4.1.2へのアップデートを忘れていた自分の責任ですねorz
直ちに該当サーバのケーブルを抜き、別マシンからルータの設定を変更してVNCポートを閉鎖。同時にサーバのウィルス対策ソフトを起動して全ファイルスキャン。数分でトロイ2つを検出、削除。
攻撃者によってインストールされたトロイやツールを調べてみると、ドイツ製プロキシ、中国製トロイ、韓国製ツール・トロイでした。
ツール群をアンインストール、全ファイルから更新日付・作成日付の新しい物をリストアップ、一つ一つ場所と内容を確認して怪しい物を隔離。30分ほどで、とりあえずツールの撤去は完了。
が、パケットモニタを見ると、そのサーバから外部へ向かって不特定多数のポートから5900ポートへ繋ごうとするアクセスが。これってこのサーバを踏み台orボット化して同じ脆弱性を持つサーバを探している、もしくは感染したマシンの情報を何処かのサーバへ転送しようとしているプログラムが残留してる、つまり未検出のトロイが動作しているのは明白。
感染プロセスを特定するため、Windows動作に必要なサービス以外を順次停止し常駐系アプリも停止。それでも外部アクセスがあるのを確認した上でタスクマネージャを起動。タスクリストの列選択で「I/Oその他」「メモリデルタ」を確認。すると、猛烈な勢いで「I/Oその他」の値を増やしているプロセスが。lsass.exeとsvchost.exeの模様。
本来この2つのファイルはシステムの動作に必要なシステム標準のファイルなんで、まあ、よく偽装されるファイルではあるんですよね。
同名ファイルで検索をかけると、オリジナルのlsass.exeとsvchost.exeとは明らかにサイズの異なる同名のファイルが c:\winnt\ 直下に存在(通常は Winnt 直下にはなく、Winnt\System32 などに存在する。というかサイズが全然違ったので一発で分かりましたが)。この手のヤツは、一旦起動してしまうとプロセス停止やファイル削除が出来ないので、レジストリから c:\Winnt\lsass.exe や c:\Winnt\svchost.exe を検索、該当する値のファイル名を $$Kick_lsass.exe のような存在しないファイル名に変更して、PC起動時に該当プロセスが起動するのを阻害する方法を選択。
意を決して再起動。
起動時にサービス起動エラーの警告が表示されたのを確認。システムのイベントログやプロセスリストを確認すると該当プロセスの排除に成功した模様。該当ファイルを別メディアへコピー、削除。同じくらいの時間帯に作成されたファイル群もまとめて処理。先ほど変更したレジストリキーを削除。再起動。
その後、1〜2時間ほどおかしい動作が無いことを確認し、とりあえずネット接続。
一段落してから管理下のVNCのバージョンを全て確認し、直ちに4.1.2に統一したのは言うまでもありません。
今回の教訓。(1)最新バージョン(特にセキュリティアップデート適用)はこまめに確認し、忘れないうちにアップデートしておこう。(2)OS以外の脆弱性情報もマメに確認しよう。(3)外部から内部へ接続するようなリスクの高い裏口のポートはデフォルトと違う番号に変更(サーバのポートは同じでも、ルータのフォワーディングで暴露ポート番号を変えるとか)し、可能なら接続許可IPを絞っておこう。
って全部当たり前の話ですねorz
サーバ管理って、ほんと楽しいわー(TДT)
ちなみに、RealVNC4.1.1の脆弱性って「パスワード認証を回避できる」というトンデモねー代物だったようで。しかも、フリー版だけでなくて有償版のほうにも同じ脆弱性が存在したとか。企業でVNC使ってる方は直ちに確認したほうがいいっすね。まあ企業などの場合はVPN経由で繋ぐから実害出てないor有償サポートとして即アップデートの連絡があったのかもしれませんね。