Sasser




Sasser(サッサー)とは、Windows XP、2000の脆弱性「MS04-011」を悪用したワームの一種である。




目次






  • 1 概要


  • 2 動作原理


  • 3 脚注


  • 4 外部リンク





概要




























































2004年 5月













1

2
3
4
5
6
7
8

9
10
11
12
13
14
15

16
17
18
19
20
21
22

23
24
25
26
27
28
29

30
31

























































2004年 4月













1
2
3

4
5
6
7
8
9
10

11
12
13
14
15
16
17

18
19
20
21
22
23
24

25
26
27
28
29
30


2004年4月30日に発見された[1]ワームで、インターネットに接続するだけで感染するという、2003年8月に流行したBlasterタイプのワーム型ウイルスである。Blasterを上回る感染力で全世界に猛威を振るった[2]。Windows 2000の脆弱性「MS04-011」を悪用しており、Microsoft社が脆弱性「MS04-011」に対する対策プログラムを4月14日に発表してから約半月後に流行したというものである。感染すると、インターネット接続中に他のマシンに対してランダムに感染を試みるとともに、システムファイル「LSASS.exe」に作用しマシンをシャットダウンさせてしまう。また、一部の亜種では使用者を欺くために、lsasss.exeという類似のファイルを使用する。感染後のファイル削除などの破壊活動は行われないが、感染動作のために多数のスレッドを作成するためにシステムリソースを消費し、マシンスペックとSasserの種類(亜種にはより多くのスレッドを消費するものがある)によっては実用に耐えうることができないほどにシステム動作が低下する。


日本での被害状況の推移には、発覚時期がゴールデンウィークに被っていたことも影響している。週休2日制の場合、2004年のゴールデンウィークは、間の平日である4月30日を休暇とすると7連続休暇となる状況であったが、eEye Digital Securityによって発見された4月30日はゴールデンウィークの2日目近くであった。初期の感染者はコンシュマーPCが多く、その後、ゴールデンウィークが開ける5月6日に、感染マシンを企業ネットワークに接続するなどの形で急激に増えたと言われている[2]


Microsoft社はウイルス作成に関する情報提供者に報奨金を用意するという方法を取り、これがSasser作者の逮捕に結びついたとされる。2004年5月7日にドイツで逮捕されたスベン・ヤシャンは17歳の時にSasserを作成した事を認め、2005年7月11日に執行猶予付きの禁固1年9カ月と30時間の奉仕活動の判決が下りた[3]


セキュリティ専門家によると、Sasserによる被害は数百万ドルに上るといわれている[4]



動作原理


Sasserの動作原理は、eEye Digital Securityによって2004年5月1日時点でその詳細が明かされている[1]


対象OSはWindows 2000、2003 Server、XP。感染すると、システム起動時に自動実行するプログラム群に自動登録される。2重感染は行われない。初回感染時および起動時にはTCPポート5554(亜種Eでは1023)でFTPサーバーを起動し、128(亜種Cは1024)のスレッドを立ち上げ、それぞれが感染動作を行う。


感染先はIPv4ベースでランダムに決定されるが、大きく規則性がある。52%はランダムに決定され、23%は最初のオクテットが一致するもの、残りの27%は前半の2つのオクテットが一致するものを新たな感染先の候補とする。感染先が決まると、亜種DはICMPエコーを用いた死活確認を行った後、本家や他の亜種は死活確認なく、TCPポート445への接続の後、脆弱性「MS04-011」を用いた攻撃を行う。攻撃が成功すると、攻撃対象のマシンのTCPポート9996(亜種Eでは1022)にリモートシェルを実行可能なバックドアが設置されることになり、このバックドア経由でSasserプログラムが感染元のFTPサーバーからダウンロードされ、そのダウンロードされたプログラムが実行されることで、感染動作が完了する。



脚注


[ヘルプ]



  1. ^ ab“eEye Digital Security: ANALYSIS: Sasser Worm”. eEye Digital Security. 2011年1月23日閲覧。

  2. ^ ab“ITMedia: Sasserの国内被害、連休明け急拡大”. ITmedia. 2011年1月24日閲覧。


  3. ^ “ITmedia ITMedia: Sasser作成少年に禁固21カ月、執行猶予3年の有罪判決”. ITmedia. 2011年1月24日閲覧。


  4. ^ “ITMedia: Sasser作成で逮捕の少年、起訴事実すべて認める”. ITmedia. 2011年1月24日閲覧。




外部リンク


  • Microsoft Windowsのセキュリティ修正プログラム (MS04-011)










































ハッキング
事件・事象


  • 2010年オーロラ作戦

  • 2010年オーストラリアサイバー攻撃

  • 2010年ペイバック作戦

  • 2011年デジノター事件

  • 2011年チェニジア作戦

  • 2011年PSN個人情報流出事件

  • 2011年衆議院サーバーハッキング事件

  • 2011年アンチセック作戦

  • 2012–13年ストラトフォー社

  • 2012年リンクトイン事件

  • 2012年北朝鮮による韓国大統領選世論操作

  • 2013年韓国サイバー攻撃

  • 2013年ロシアでのスパイチップ発見

  • 2013年スナップチャット事件

  • 2014年トーヴァー作戦

  • 2014年高速増殖炉もんじゅ事務端末感染事件

  • 2014年iCloudからの著名人プライベート写真大量流出事件

  • 2014年ハートブリード脆弱性

  • 2014年シェルショック脆弱性

  • 2014年プードル脆弱性

  • 2014年ソニーピクチャーズ社

  • 2015年米政府人事管理局情報流出事件

  • 2015年日本年金機構

  • 2015年ハッキングチーム社

  • 2015年アシュレイマディソン事件

  • 2015年ステージフライト脆弱性

  • 2016年バングラディッシュ銀行強盗
政府系機関

  • アメリカサイバー軍

  • 中国サイバー軍

  • 北朝鮮サイバー軍

  • シリア電子軍

  • 自衛隊サイバー防衛隊

  • 警察庁サイバーテロ対策技術室

  • 対サイバーテロ国際多国間提携

  • 米国インターネット犯罪苦情センター

  • 欧州サイバー犯罪センター

    		•
    ハッカー集団

  • アノニマス

  • サイバーベルクート

  • ダーピー

  • GNAA

  • ゴッツィーセキュリティー

  • リザードスクワッド

  • ラルズセック

  • ライズラフト

  • ヌルクルー

  • レッドハック

  • チームポイズン

  • Tailored Access Operations

  • UGナチ

  • カオス コンピュータ クラブ

  • カルト オブ ザ デッド カウ

  • 中国紅客連盟

  • ナイトドラゴン

  • ロフト

  • リージョンズ オブ ザ アンダーグラウンド

  • イクエーション・グループ

  • ホンコン・ブロンド

  • sutegoma2

  • ハッキングチーム有限責任会社

    		•
    個人

  • ジョン・T・ドレーパー

  • ケビン・ミトニック

  • 下村努

  • 伊藤穰一

  • ロバート・T・モリス

  • ケビン・ポールセン

  • エイドリアン・ラモ

  • Donncha O'Cearbhaill

  • ジェレミーハモンド

  • ジョージホッツ

  • グッチファー

  • アルバート・ゴンザレス

  • Sabu

  • Topiary

  • The Jester

  • weev

  • ゲイリー・マッキノン

  • クリストファー・フォン・ハッセル

  • ジュリアン・アサンジ

    		•
    マルウェア

  • Careto / The Mask

  • CryptoLocker

  • Dexter

  • Duqu

  • FinFisher

  • Flame

  • Gameover ZeuS

  • Mahdi

  • Metulji botnet

  • NSA ANT catalog

  • R2D2

  • Shamoon

  • Stars virus

  • Stuxnet

  • Sasser

  • 携帯電話ウイルス

    		•
    概念・思想

  • サイバー戦争

  • サイバーテロ

  • ハクティビズム

  • ハッカー

  • クラッカー

  • ハッキング

  • サイバー犯罪

  • クラッキング

  • ハッカーの良心

  • ハッカー宣言

    		•
    手段・技術


  • 標的型攻撃(水飲み場型攻撃・APT攻撃)

  • ゼロデイ攻撃

  • 踏み台

  • DNS偽装

  • バッファオーバーラン

  • ブルートフォースアタック

  • XSS

  • エクスプロイト

  • ドライブバイダウンロード

  • SQLインジェクション攻撃

  • 中間者攻撃

  • ハッカーコンテスト

    		•



    Popular posts from this blog

    MongoDB - Not Authorized To Execute Command

    Image
    .everyoneloves__top-leaderboard:empty,.everyoneloves__mid-leaderboard:empty,.everyoneloves__bot-mid-leaderboard:empty{ height:90px;width:728px;box-sizing:border-box; } 0 I have successfully enabled authorization on MongoDB and I have created an account on the admin database and then I created an account for my database called test. The following connection string to connect to my test database works successfully: mongo --host 192.168.17.52 --port 27017 -u user1 -p password --authenticationDatabase test Only problem I have now is, I cannot execute commands such as: show dbs. I get the following error when I try to do so: "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0, lsid: { id: UUID("a1d5bc0d-bc58-485e-b232-270758a89455") }, $db: "admin...
    Read more

    in spring boot 2.1 many test slices are not allowed anymore due to multiple @BootstrapWith

    Image
    1 I tried to upgrade a yummy sandwich made of two test slices (@JsonTest and @JdbcTest in my case, crunchy test code in between) adding spring boot 2.1 flavour to it. But it seems it was not much of a success. I cannot annotate my tests with many @...Test since they are now each bringing their own XxxTestContextBootstrapper. It used to work when they all used same SpringBootTestContextBootstrapper. @RunWith(SpringRunner.class) @JdbcTest @JsonTest public class Test { @Test public void test() { System.out.printn("Hello, World !"); } } The error I get from BootstrapUtils is illegalStateException : Configuration error: found multiple declarations of @BootstrapWith for test class I understand I might be doing something wrong here but is there an easy way I could load both Json and Jdbc contex...
    Read more

    Npm cannot find a required file even through it is in the searched directory

    Image
    up vote 0 down vote favorite I got that error: users-Air:pdfuploader user$ npm run start client@0.1.0 start /Users/user/Documents/pdfuploader react-scripts start Could not find a required file. Name: index.html Searched in: /Users/user/Documents/pdfuploader/public npm ERR! code ELIFECYCLE npm ERR! errno 1 npm ERR! client@0.1.0 start: `react-scripts start` npm ERR! Exit status 1 npm ERR! npm ERR! Failed at the client@0.1.0 start script. npm ERR! This is probably not a problem with npm. There is likely additional logging output above. npm ERR! A complete log of this run can be found in: npm ERR! /Users/user/.npm/_logs/2018-11-19T10_19_14_555Z-debug.log users-Air:pdfuploader user$ And the file is in /Users/user/Documents/pdfuploader/public as you can see in my github repository: https://github.c...
    Read more