Content

Operation Auroraについて

自社のシステムが、すでに感染しているかどうかを確認する方法

既知の攻撃「Operation Aurora」は、一連のファイルを送りつけ、外部のドメインを利用して攻撃を仕掛けることが分かっています。自社のシステムおよびインフラを調べて、こうした兆候がないかどうか確認してください。感染の有無が確認できます。

Operation Auroraの感染確認法(2010年2月1日更新)

McAfee VirusScanのエンジンを使用する製品をご利用のお客様は、2010年1月19日にリリースされた定義ファイル(5864)以降のDATを使用していることをご確認ください。定義ファイルを最新にした状態で、各端末や重要なサーバーなどのスキャンを行い、以下のような検出名でウイルスが検出されないかご確認ください。

  • Exploit-Comele
  • Roarur.dr
  • Roarur.dll

Operation Aurora検出用に無償のStingerを公開しました。感染したシステムで実行し、駆除することができます。

もし、マカフィー製品を使っていない場合は?(2010年2月1日更新)

マカフィー製品をご利用ではなく、ご利用のウイルス対策製品がAuroraバイナリに対応していない場合は、ファイル名とMD5のハッシュ値から一致するファイルがないか確認することができます。間違ったファイルを消さないために、ファイル名のみでなくハッシュ値も必ず確認してください。

securmon.dll:
E3798C71D25816611A4CAB031AE3C27A

Rasmon.dll:
0F9C5408335833E72FE73E6166B5A01B

a.exe:
CD36A3071A315C3BE6AC3366D80BB59C

b.exe
9F880AC607CBD7CDFFFA609C5883C708

AppMgmt.dll
6A89FBE7B0D526E3D97B0DA8418BF851

A0029670.dll
3A33013A47C5DD8D1B92A4CFDCDA3765

msconfig32.sys
7A62295F70642FEDF0D5A5637FEB7986

VedioDriver.dll
467EEF090DEB3517F05A48310FCFD4EE

acelpvc.dll
4A47404FC21FFF4A1BC492F9CD23139C

Webの外部アクセスの確認(2010年2月1日更新)

Webへのアクティビティからもマルウェアに感染した端末が存在するのか確認することができます。
マルウェアのアクティビティとして関連付けられた以下のドメインに対してDNSの名前解決や、Webページへのアクセスがアウトバウンドで行われていないか確認します。

ftpaccess[dot]cc
360[dot]homeunix[dot]com
sl1[dot]homelinux[dot]org
ftp2[dot]homeunix[dot]com
update[dot]ourhobby[dot]com
ad01[dot]homelinux[dot]com
ads1[dot]homelinux[dot]org
ads1[dot]webhop[dot]org
aep[dot]homelinux[dot]com
aka[dot]homeunix[dot]net
alt1[dot]homelinux[dot]com
amd[dot]homeunix[dot]com
amt1[dot]homelinux[dot]com
amt1[dot]homeunix[dot]org
aop01[dot]homeunix[dot]com
aop1[dot]homelinux[dot]com
asic1[dot]homeunix[dot]com
bdc[dot]homeunix[dot]com
corel[dot]ftpaccess[dot]cc
ddd1[dot]homelinux[dot]com
demo1[dot]ftpaccess[dot]cc
du1[dot]homeunix[dot]com
fl12[dot]ftpaccess[dot]cc
ftp1[dot]ftpaccess[dot]cc
patch[dot]homeunix[dot]org
up1[dot]mine[dot]nu
hho1[dot]homeunix[dot]com
hp1[dot]homelinux[dot]org
i1024[dot]homeunix[dot]org
i1024[dot]homelinux[dot]com
ice[dot]game-host[dot]org
il01[dot]servebbs[dot]com
il01[dot]homeunix[dot]com
il02[dot]servebbs[dot]com
il03[dot]servebbs[dot]com
lih001[dot]webhop[dot]net
lih002[dot]webhop[dot]net
lih003[dot]webhop[dot]net
list1[dot]homelinux[dot]org
live1[dot]webhop[dot]org
patch1[dot]gotdns[dot]org
patch1[dot]ath[dot]cx
patch1[dot]homelinux[dot]org
ppp1[dot]ftpaccess[dot]cc
sc01[dot]webhop[dot]biz
temp1[dot]homeunix[dot]com
tor[dot]homeunix[dot]com
ttt1[dot]homelinux[dot]org
up01[dot]homelinux[dot]com
up1[dot]homelinux[dot]org
up1[dot]serveftp[dot]net
up2[dot]mine[dot]nu
update1[dot]homelinux[dot]org
update1[dot]merseine[dot]nu
jlop[dot]homeunix[dot]com
on1[dot]homeunix[dot]com
vm01[dot]homeunix[dot]com
vvpatch[dot]homelinux[dot]org
war1[dot]game-host[dot]org
xil[dot]homeunix[dot]com

最低でもこれらのドメインへのアクセスが2009/12/10から2010/1/6の間に発生しているか確認する必要があります。
Auroraのアクティビティとして、これらファイルの落とし込みや上記ドメインのアクセス以外の動作が行われる可能性もありますので、不審なファイルやアクティビティがあれば、最新の定義ファイルでのスキャンを行ってください。

自社のシステムに、感染の危険性があるかどうかを確認する方法

マイクロソフト社のInternet Explorerに存在する脆弱性を突いて、攻撃を開始する実行コードは、残念ながらすでに広く出回っており、インターネットで簡単に入手できます。これはつまり、問題の脆弱性を突いた攻撃がますます増加していることを意味するため、マイクロソフトのInternet Explorerのユーザは重大な被害を受ける危険にさらされていると考えてよいでしょう。

これについては、マイクロソフトがすでに攻撃を確認して、影響される危険性のあるプラットフォームの組み合わせとセキュリティ更新プログラムを公開しています。影響を受けるプラットフォームの組み合わせは次のとおりです。
「Microsoft Windows 2000 Service Pack 4」と「Internet Explorer 6 Service Pack 1」の組み合わせ
および「Windows XP」「Windows Server 2003」「Windows Vista」「Windows Server 2008」「Windows 7」「Windows Server 2008 R2」と「Internet Explorer 6」「Internet Explorer 7」「Internet Explorer 8」の組み合わせ。

各プラットフォームでの危険度について、マカフィーは独自の評価を以下の表にまとめました。

プラットフォーム Internet Explorer 6 Internet Explorer 7 Internet Explorer 8
Windows 2000 High Risk N/A N/A
Windows XP High Risk High Risk Midium Risk(DEP* Enable w/SP3)
Windows 2003 Midium Risk(DEP* 有効) Midium Risk(DEP* 有効) Midium Risk(DEP* 有効)
Windows Vista N/A High Risk Midium Risk(DEP* 有効 w/SP1)
Windows 2008 N/A N/A Midium Risk(DEP* 有効)
Windows 7 N/A N/A Midium Risk(DEP* 有効)
* Data Execution Protection (データ実行防止機能)

自社のシステムを防護する方法

McAfee Labsでは、活動パターン(ビヘイビア)とコンテンツシグネチャ、Webセキュリティ、IPS、およびIPセキュリティのアップデートや、製品設定の推奨情報、ならびにアドバイスをMcAfee Labsのブログページで継続的に提供しています。

McAfee Labsから常にリアルタイムでハイレベルの脅威インテリジェンスを提供するMcAfee Threat Intelligence Servicesは、洗練されたレピュテーションベースのヒューリスティック検出テクノロジを採用して、最新の脅威をリアルタイムで検出し、お客様のシステムを防護します。Global Threat Intelligenceは、インターネットを常に監視し、Operation Auroraなどの攻撃やホットスポットを捕捉しています。
McAfee Threat Intelligence Servicesについて

システムの防護については、以下の手順を推奨します。

  1. マカフィーのウイルス/マルウェア対策ソフトがインストールされており、ウイルス定義(DAT)ファイルが5864以上の最新の状態になっていることを確認してください。
    最新の定義ファイル ダウンロード
  2. DATファイルが上記の状態になっていない場合は、システム全体で、あるいは各システムで定義ファイルを最新にしてフルスキャンを実行してください。
  3. エンドポイントの製品に対して、Artemisを有効にしてください。Artemisは、既知/新出/成長中等の種類を問わず脅威をレピュテーションベースで検出して防護します。 VirusScan Enterprise の Artemis の有効化、ポリシー設定法については下記Q&A ページをご参照下さい。
    VirusScan Enterpriseでの、Artemisのオンアクセススキャン有効化について
    Total Protection Serviceのポリシー設定方法(ウイルス & スパイウェア対策)
  4. Internet Explorerのセキュリティレベルを「高」にし、マイクロソフトからInternet Explorerの修正パッチがリリースされるまで、サイトの閲覧は既知のページに制限してください。
  5. 他のマカフィー製品をお使いの場合は、最新のシグネチャアップデート、製品設定の推奨情報、ならびにアドバイスを入手してください。
  6. システムで、外部からのWebリクエストを記録できる場合は、今後の侵入検知に備えて、リクエストのログを行ってください。

Auroraに対するマカフィー製品の適用範囲

(2010年2月1日更新)
McAfee Labsでは、シグネチャのアップデートおよび製品設定の推奨情報、ならびにアドバイスをMcAfee Labsのブログページで継続的に提供しています。

Operation Auroraの攻撃には複数の段階があります。マカフィーは、以下の製品およびソリューションを提供し、Operation Auroraのいずれのステージでもお客様を保護します。

Operation Auroraの攻撃イメージ

ステージ 1: 攻撃の開始 : Webサイトアクセスによる感染からの保護

ステージ 2 :攻撃中: Webサイトの脆弱性を突いたマルウェア (偽装されたJPEG) ダウンロードの防止

ステージ 3:攻撃の完了 : マルウェアインストール後のバックドア防止