Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和5年度 春期 午後1 問2 その2

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問2(一部、加工あり)】

[受付 サーバ プロセスとネットワーク接続の調査]
 Mさんは、受付サーバでプロセスとネットワーク接続を調査した。psコマンドの実行結果を表2に、 netstatコマンドの実行結果を表3に示す。

srvという名称の不審なプロセスが稼働していた。Mさんがsrvファイルのハッシュ値を調べたところ、インターネット上で公開されている攻撃ツールであり、次に示す特徴をもつことが分かった。

  • C&C(Command and Control)サーバから指示を受け、子プロセスを起動して ポートスキャンなど行う。
  • 外部からの接続を待ち受ける”バインドモード”と外部に自ら接続する”コネクトモード”でC&Cサーバに接続することができる。モードの指定はコマンドライン引数で行われる。
  • ポートスキャンを実行して、結果をファイルに記録する(以下、ポートスキャンの結果を記録したファイルを結果ファイルという)。さらに、SSH又はFTPのポートがオープンしている場合、利用者IDとパスワードについて、辞書攻撃を行い、その結果を結果ファイルに記録する。
  • SNMPv2cでpublicという(b)名を使って、機器のバージョン情報を取得し、結果ファイルに記録する。
  • 結果ファイルをC&C サーバにアップロードする。

 Mさんは、表1〜表3から、次のように考えた。

  • 攻撃者は、一度、srvの(c)モードで、①C&Cサーバとの接続に失敗した後、srvの(d)モードで、②C&Cサーバとの接続に成功した
  • 攻撃者は、C&Cサーバとの接続に成功した後、ポートスキャンを実行した。ポートスキャンを実行した プロセスのPIDは、(e)であった。

 Mさんは、受付サーバが不正アクセスを受けているとU課長に報告した。U課長は、関連部署に伝え、Mさんに受付サーバをネットワークから切断するよう指示した。

b:コミュニティ

SNMPv2cでpublicという(b)名を使って、機器のバージョン情報を取得し、結果ファイルに記録する。

SNMPv2というプロトコルについて知識があると、public/privateやコミュニティ名という単語は容易に想像ができるのだが、情報処理安全確保支援士の参考書にはないため難しい問題だったと予想

業務経験的にMIBを開発していた時期があるので、この辺りは把握していたので、どうやって勉強するかというのが難しい問題である。

午前の試験でTRAPが出ているので、SNMPに関する知識は一通り知っておくといいかもしれないが、セキュリティ視点だとv2ではなく、SNMPv3を使うほうが良いと思うので、v3の問題が今後出るかもね。

www.itmedia.co.jp

SNMPについては過去脆弱性事件も起きているので、読んでおくといいかもしれないが、次の試験を見据えると他の脆弱性について読んでおくと良い。。

 

c:バインド

表3の情報

FWのログをみると、8080をbindしたが拒否されていることがわかる。

C&Cサーバとの接続に失敗した理由は8080をbindしたが拒否されたから

d:コネクト

表3の

Connectコマンドを発信しており、FWのログをみると、接続許可となっているので、C&Cサーバとの接続に成功した

と判断できる

 

e:1365

  • 攻撃者は、C&Cサーバとの接続に成功した後、ポートスキャンを実行した。ポートスキャンを実行した プロセスのPIDは、(e)であった。

rangeという怪しいコマンドをしていることとIPアドレスの範囲指定をしていることから、ポートスキャンらしきことをしているPIDは1365である

 

www.youtube.com

div #breadcrumb div{ display: inline;font-size:13px;}