龍谷大学理工学部における ウイルス感染事例 part 2

Slides:



Advertisements
Similar presentations
コンピュータ基礎実習上級 #4 拡張子、 URL 、ファイル名 一般教育研究センター 安田豊. ファイル名と拡張子 ファイルには名前が付けられている 区別のため。整理などに便利に利用するとよい。 abc.html ピリオドによってファイル名を前後に分ける習慣がある。 ピリオドの左は整理のために自由な名前を選べる.
Advertisements

Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.
1 PHP プログラムの実行(まと め) 担当 岡村耕二 月曜日 2限 平成 22 年度 情報科学 III (理系コア科目・2年生) 本資料の一部は、堀良彰准教授、天野浩文准教授、菅沼明 准教授等による以前の講義資料をもとにしています。
ExpressMail Ver6.1 ご紹介資料 NEC 第二システムソフトウェア事業部.
BOM for Windows セキュリティログ監視キット ファイル・アクセスログ収集ソリューション
(実はアイコンは単なる飾りで、この縦書きの部分のどこをクリックしても次のページに移動します。)
4.ユーザー登録マニュアル              Version 年6月10日 国立情報学研究所.
情報基礎A 情報科学研究科 徳山 豪.
スクリーンショットの取り方 コラボエンドポイントスクリーンショットの取得 シスコシステムズ合同会社 テクニカルソリューションズアーキテクト
Macユーザーの方:データ転送 ターミナル使用.
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
IPアドレス、IPパケットとはなにか? 情報塾( ) URLとの関係は? コンピュータ同士はどう繋がっているか?
共通設定.
ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.
情報理工学部 情報システム工学科 ラシキアゼミ3年 H 岡田 貴大
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
CGI Programming and Web Security
WinSCPによるデータ転送 リモートローカル間で簡単にデータ転送が可能です。
ネットワークコミュニケーション よく使われるアプリケーション DNS 7/5/07.
30分でわかるTCP/IPの基礎 ~インターネットの標準プロトコル~ 所属: 法政大学 情報科学研究科 馬研究室 氏名: 川島友美
水曜パソコン講座 「Windows Security Essentials プログラムを実行する手順」          を解説します.
情報処理1 1.インターネット利用の基礎.
サーバ管理と運営 不正アクセスに対するセキュリティ構築
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
12月11日(土) 13:00~15:00 長崎大学教育学部 全炳徳 久方純
インターネット活用法 ~ブラウザ編~ 09016 上野喬.
HTTPプロトコルとJSP (1) データベース論 第3回.
HTTPプロトコル J2EE I 第7回 /
Qmailとspamとの闘い 木村 博美 筑波大学 加速器センター
情報の基礎とセキュリティ ●URL (Uniform Resource Locator) インターネットサービスの所在地の表記
ネットワーク機器接続 2SK 情報機器工学.
サーバー立ち上げ記 2009/5/23
Cisco Startシリーズ セキュリティ特集 第3回 Cisco Umbrella 編
マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター
望月 祐洋,由良 淳一,楠本 晶彦 {moma, yurayura,
第8章 Web技術とセキュリティ   岡本 好未.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
MPIによるwavからmp3圧縮の検証 情報論理工学研究室 04‐1‐47‐200 木村 惇一.
DNSトラフィックに着目したボット検出手法の検討
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
Sanesecurityのこと 小島 肇 龍谷大学理工学部.
セキュリティ(6) 05A2013 大川内 斉.
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
リモートホストの異常を検知するための GPUとの直接通信機構
龍谷大学理工学部における ウイルス感染事例
Microsoft BizTalk Server & SAP PP モジュール 連携検証レポート概要
Cisco Umbrella のご紹介 2018 年 1 月.
G Suite導入ガイド Ver1.3.
龍谷大学理工学部の中の人から見た、最近のウイルスについての考察
Internet広域分散協調サーチロボット の研究開発
ネットワークプログラミング (5回目) 05A1302 円田 優輝.
Web - 01 IIS を インストールしよう.
テーブル設計を後から変更 現場で使える小技のご紹介 株式会社ジーワンシステム 生島 勘富(イクシマ サダヨシ)
Cisco Configuration Professional Express 3.3 アップデート
エピソード記憶に訴えるBookmarkless Bookmarkの実現
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
インターネット             サーバーの種類 チーム 俺 春.
データベース設計 第4回 DBMSの機能と操作方法(1) Access入門
サーバ・クライアントシステム ( X Window System) 2006/01/20 伊藤 和也 original: 前坂たけし
ウィルスって どの位感染しているのかな? 菊池研究室  小堀智弘.
北海道情報大学 情報メディア学部 情報メディア学科 新井山ゼミ 金子拓磨
勝手にインフラ隊 (の中の人といっしょ) に学ぶネットワーク講座 Part2
Cisco Startシリーズ セキュリティ特集 第3回 Cisco Umbrella 編
勝手にインフラ隊 (の中の人といっしょ) に学ぶネットワーク講座 Part2
Ibaraki Univ. Dept of Electrical & Electronic Eng.
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
Presentation transcript:

龍谷大学理工学部における ウイルス感染事例 part 2 小島 肇

背景となる 状況 Story Backgrounds

龍谷大学 標準のアンチウイルスソフトとして、マカフィー製品を導 入 Windows: VirusScan Enterprise (VSE) Mac: VirusScan for Mac

龍谷大学 現在 Ryukoku University Present Time 前回は 1 年前(2009年1月~2月ごろ)の話だったが、今回は最近の話。 Ryukoku University Present Time

ウイルスとの闘いは続いていた from “ALIENS” 画面は映画「エイリアン2」より。背後にエイリアンが潜んでいるのに気がついていない海兵隊員。 from “ALIENS”

周り中反応だらけだ! from “ALIENS”

周り中反応だらけだ! (proxy sever’s log) 133.83.a.a - - [03/Dec/2009:19:14:27 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327 133.83.a.b - - [03/Dec/2009:14:52:17 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336 133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336 133.83.a.c - - [03/Dec/2009:16:52:04 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 459 133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325 133.83.a.c - - [03/Dec/2009:16:52:27 +0900] "GET http://mk27w.com/1rb/ar1.rar HTTP/1.0" 200 401 133.83.a.c - - [03/Dec/2009:16:53:07 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 401 133.83.a.c - - [03/Dec/2009:16:56:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327 133.83.d.e - - [03/Dec/2009:11:20:09 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336 133.83.f.g - - [03/Dec/2009:13:08:36 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336 133.83.f.h - - [03/Dec/2009:12:17:25 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327 133.83.i.j - - [03/Dec/2009:19:57:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336 133.83.k.l - - [03/Dec/2009:10:39:51 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327 133.83.m.n - - [03/Dec/2009:16:28:31 +0900] "GET http://www.sinax7l.com/1rb/ar1.rar HTTP/1.0" 200 459 133.83.m.n - - [03/Dec/2009:16:28:32 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325 133.83.m.o - - [03/Dec/2009:16:28:18 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327 133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336 133.83.a.c - - [03/Dec/2009:16:52:04 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 459 133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325 133.83.a.c - - [03/Dec/2009:16:52:27 +0900] "GET http://mk27w.com/1rb/ar1.rar HTTP/1.0" 200 401 133.83.a.c - - [03/Dec/2009:16:53:07 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 401 133.83.a.c - - [03/Dec/2009:16:56:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327 2009年12月3日の squid の log file の一部を common log file 形式に変換して表示したもの。 133.83.a.c のアクセス先が複数あるのは、実は 133.83.a.c はブロードバンドルーターのアドレスで、その背後に複数の感染したホストが存在したため。

最近のヤラレパターン ウイルス定義ファイルは正常に更新されているけれど、 アンチウイルスソフトウェアは何の役にも立っていない かつては「マルウェアによってウイルス定義ファイルの更新が停止されている」という事例が見られたが、最近はそういう事例はほとんど見ない。しかし、にもかかわらず、マルウェアに感染し続けているのである。ウイルス定義ファイルの対応状況がウイルスに全く間に合っていないのだ。

Artemis を使え、ルーク 画面は映画「スターウォーズ エピソード4」より。 from “STAR WARS Episode IV”

McAfee Artemis Technology クラウドベースのサービス 疑いのあるファイルが確認された場合、Artemis はデー タベースサーバにDNS要求を送信。サーバはそのプロ グラムが悪意のあるファイルか否かを確認し応答 一般消費者向けの製品では「Active Protection」として搭 載 対応製品は https://mysupport.mcafee.com/Eservice/Article.aspx?id=KB53730 を参照。この他、McAfee Network Security Platform 6.0 でも対応する模様: http://enterprise.watch.impress.co.jp/docs/news/20100208_347746.html Active Protection はマカフィー 2008 シリーズ以降で対応している模様: http://journal.mycom.co.jp/news/2008/10/28/032/index.html http://www.mcafee.com/japan/security/gti_artemis.aspより、一部改変して掲載

McAfee Artemis Technology VSE 8.7i patch 2 の「オンアクセス スキャン」のプロパティ設定画面。

Artemis を有効化すると…… 「非常に低」(次回のDATと同等の検出)では発見できな い事例多数 VSE 8.7i patch 2 同梱版でのデフォルト設定 「低」(今後DATに追加予定のファイルの検出)にすると、 とたんに発見できた事例を複数確認 個人的にはこれを推奨中 「中」「高」「非常に高」に設定しても、検出率的にはあまり 変わらないような気が…… 「非常に低」は very low の訳語。変な訳。

Artemis はいつも君と共にある ……ネットにつながっていれば from “STAR WARS Episode IV” 画面は映画「スターウォーズ エピソード4」より。 Artemis は DNS 技術を使用するため、ネットにつながっていないと機能しない。また、外部の DNS 空間を参照できない場合も機能しない。少なくとも avqs.mcafee.com ドメインに対するクエリを扱えるようにする必要がある。詳細については http://www.mcafee.com/japan/pqa/aMcAfeeVse.asp?ancQno=VE08122501&ancProd=McAfeeVse を参照。 from “STAR WARS Episode IV”

質問?

フィードバック: プライバシー フィードバック
About project: SlidePlayer 利用規約

© 2024 slidesplayer.net Inc. All rights reserved.