標的型のメールは毎日やってきます。
単純なスパムももちろんあるけど、あえて特定の企業や個人を狙ってメールすることもあります。
私がよく見るケース。
・メールにリンクが書いてあって、
ここを参照してください と書かれてる。
→ exe だったり、インストーラ形式だったり、html だったり。
・添付ファイルがあって、"xxxxx.doc .exe" と見た目文書ファイルなんだけど、実は exe の実行ファイルとなっていたりする。
→もちろんマクロが含んだ word のファイルだったり、zip の圧縮ファイルだったり、やっぱいろいろ。
基本は英語か怪しい日本語で書いてあることが多いです。
単純にクリックしただけでは、まだセーフのこともあります。
・メールに書かれたリンクをクリックして、Google Chrome のダウンロードマネージャーが起動。
・ファイルをダウンロードした後に「インストールしますか?」というダイアログが起動。
→ここで辞めればセーフ
実行しちゃったら、すぐさまマシンの入れ替えが必要です。
悪性プログラムがインストールされちゃうと、PC からインターネットに向けてセッションを張ります。(※1)
利用するポートも必ずしも 80 や 443 を使うとは限らなくて、何番ポートを使って接続しようとするかは分かりません。
相手のサーバは C&C(Command and Control)サーバと呼ばれます。
そして C&C サーバは PC にコマンドを送り実行させます。
・ファイルを盗み見てネットワーク上に送ったりします。
・起動しているリモートデスクトップのセッションを乗っ取ったりします。(※2)
・サーバにアクセスして、システム情報、アカウント情報、接続されたネットワーク情報などをコマンド実行をして集め、そのファイルをアップロードしたりします。(※3)
これらの兆候を見つけるのは、難しいですがこんなやり方があります。
1.ネットワーク機器のセッションログで C&C サーバへのセッションを見つけます。
→定期的に同じアドレス宛てに通信していたりする場合に見つけられる可能性があります。
2.プロセスが落ちたり、異常な動作をすることの本人の気付きが必要になります。
→単なるパフォーマンスの問題と思っていても、実はそうじゃなかったりするケースです。
3.セキュリティイベントログで「プロセスの生成」を監査します。
→セキュリティイベントログはあらかじめ出力設定が必要になります。
→使ってもいないのに例えばこんなコマンドを実行した履歴があったら要注意です。
・command.exe / attrib.exe / regedit.exe
・ipconfig.exe / net.exe / net1.exe
・netsh.exe / quser.exe / sc.exe
・cscript.exe / wscript.exe / notepad.exe ・・・
