| エンタープライズ:ニュース | 2003/06/20 23:24:00 更新 |
ウィンドウサイズ「55808」のTCPパケットに注意
米国の複数のセキュリティ企業は6月19日、トロイの木馬プログラムの一種である「Stumbler」がウィンドウサイズが「55808」のTCPパケットを生成しているとして、アドバイザリを公開した。
6月12日以降、いくつかのセキュリティ関連メーリングリストで、ウィンドウサイズが「55808」のTCPパケットが増加していることが指摘されてきた。米国の複数のセキュリティ企業は6月19日、トロイの木馬プログラムの一種である「Stumbler」(あるいは「55808 Trojans」)がこれらのパケットを生成しているとして、アドバイザリを公開している。
この問題を分析した米Intrusecと米Internet Security Systems(ISS)によると、Stumblerは、偽装した発信元IPアドレスから、無作為な宛先ポートに向けて、ウィンドウサイズを55808に設定したTCP SYNパケットを送り付け、ネットワークマッピングとポートスキャンを実行する。
発信元を偽装していることから、このTCP SYNパケットに対する応答パケットは、本来のStumblerの発信元に届かないことになる。だがStumblerは一方で、プロミスキャスモードでネットワークを盗聴している。スニファしたデータの中から、ウィンドウサイズが55808のパケット(つまりレスポンス)を取り出し、その結果を「/tmp/.../a」もしくは「/tmp/.../r」というファイルに記録するという。こうして収集された情報は定期的に、特定のIPアドレスに送付される仕組みだ。
IntrusecとISSはそれぞれ、Stumblerの行動を検出するための、自社不正侵入検知システム(IDS)の設定変更方法を示している。また、ウィンドウサイズが55808のパケットを吐き出しているマシンやシステム内に「/tmp/.../a」や「/tmp/.../r」というファイルが存在するマシンは、Stumblerに感染している可能性がある。
IntrusecによるとStumblerには、自己の複製やファイルの削除といった被害を及ぼす挙動は見られない。このためStumberlは、コンセプト検証のために作成されたものという見方もある。しかし、同社が捕獲したStumblerはLinux上で動作するものだけというが、他のUNIXシステムへの移植も容易と見ているという。
関連記事
エンタープライズトップページへセキュリティチャンネル関連リンク
インターネット セキュリティ システムズ:分散型ステルス スキャン ネットワーク「Stumbler」Intrusec:Intrusec Alert: 55808 Trojan AnalysisLancope:VIRUS ALERT: Lancope Confirms Discovery of Third-Generation Internet Trojan Horse[ITmedia]
