Symantec CIDS シグネチャ - HTTP Hylafax Faxsurvey Remote PW Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP Hylafax Faxsurvey Remote PW Access
侵入 URL: www.test.jp/test/cgibin/faxsurvey?/bin/cat%20/etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 1740

［調査］
Hylafax とは？
Fax 送受信に使われる古いパッケージ。
この中に faxsurvey というコマンドがあり、入力チェックをしない不具合がある。


①faxsurvey パッケージは入っていない。
②Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP JJ Sample CGI Cmd Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP JJ Sample CGI Cmd Exec
侵入 URL: www.test.jp/test/cgi-bin/jj?pwd=SDGROCKS&pop=0&name=rudi&adr=elder4&phone=4523534~/bin/ls
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4382

［調査］
jj とは？
jj は CGI のサンプルプログラム。このプログラムに問題があるため、コマンド実行されるおそれがある。

①jj は入っていない。
②Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP Info2www CGI Command Exec

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP Info2www CGI Command Exec
侵入 URL: www.test.jp/test/cgi-bin/info2www?(../../../../../../../bin/mail
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4378

［調査］
info2www とは？
info ファイルを www ブラウザで閲覧できるようにする。

古いバージョンの info2www では ルート権限でプロセスを実行できてしまうバグがあり、そのためにコマンド実行が試行された。

①info2www パッケージは入っていない。
②Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP htdig File Disclosure CVE-2000-0208

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: Attack: HTTP htdig File Disclosure CVE-2000-0208
侵入 URL: www.redsonline.jp/test/cgi-bin/htsearch?exclude=%60%60
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 4281

［調査］
htdig とは？
小規模サイトのWeb検索や索引を作成するシステム。
10年以上前の古いパッケージ。
htsearch は htdig の持つフロントエンドのコマンドで、実際のサーチ（検索）を行う。

%60 は `（バックスラッシュ）の文字コード。

htdig を使っていなければ問題ないものであり、また、Symantec もブロックしている。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

Symantec CIDS シグネチャ - HTTP SCO Skunkware ViewSrc Traversal

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP SCO Skunkware ViewSrc Traversal
侵入 URL: www.test/test/_vti_pvt/authors.pwdgi-bin/view-source?../../../../../../../etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 2877

［調査］
vti_pvt というディレクトリにアクセスしている。
FrontPage、Expression Web、または SharePoint Designer をインストールすると作成されるディレクトリ。
これらソフトは使っていないので対象外。

上位フォルダへアクセスして、そこから /etc/passwd フォルダを見ようとしている。
Linux が対象の攻撃。
Windows サーバなら対象外。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、スキャン性で問題のないイベントでした。

Symantec CIDS シグネチャ - Web Attack: ISM DLL Remote Administration

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: Web Attack: ISM DLL Remote Administration
侵入 URL: www.test.jp/test/scripts/iisadmin/ism.dll?dir/bdir+??c:
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 2284

［調査］
HTTP Htgrep CGI File Access とセットでやってきました。
HTTP Htgrep CGI File Access は Linux をターゲットにしていますが、ISM DLL Remote Administration は Windows をターゲットにしています。

このシグネチャは IIS 4.0 という古いバージョンの古い脆弱性を突いた攻撃を検知するものでした。
従って、最近のサーバに対しては無意味な攻撃となります。

Symantec はこの通信をブロックしましたが、あまり意味のない感じですね。。

攻撃元 IP アドレスはファイヤーウォールで止めておきました。

Symantec CIDS シグネチャ - HTTP Htgrep CGI File Access

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク （抜粋）］
シグネチャ名: HTTP Htgrep CGI File Access
侵入 URL: www.test.jp/test/cgi-bin/htgrep/file=index.html&hdr=/etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 1932

［調査］
htgrep とは？
Perl で作られた CGI スクリプト。もう古いパッケージで既にサポートもされていない。
htgrep パッケージを使ってファイルの中身が見れるかどうかを確認するためのスキャン攻撃。

①htgrep パッケージは入っていない。
②Windows サーバだが、/etc/passwd と Linux のファイルをアクセスしようとしている。
③Symantec はこの通信をブロックした。

攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。

攻撃者を捕まえる方法

サイバーセキュリティにおいて、攻撃者を捕まえる最も効果的な方法とは。

①その攻撃者が最もよろこぶ餌をまく

　　－そんじょそこらの餌じゃダメ。最もよろこぶ餌をまくこと

②そうすると攻撃者はターゲットだけを見るようになる

　　－他への関心をなくすことにによって他へのセキュリティを守ることができる

③攻撃者がボロを出すまでじっと待ち、そこを捕まえる

　　－時間がかかっても相手が動くまでじっと待つ

　　－必ずボロを出すのでそこを捕まえる

必ずしも当てはまるわけじゃないけど、よくある手法の一つです。

openssl の深刻な脆弱性

openssl の深刻な脆弱性のパッチが明日リリースされる。

どんな内容かは未発表。

出たら急いで適用スケジュールを立てなくては。。。

3/25 追記
緊急のパッチは２件ありました。DoS と MITM。
詳細はネットで探せばいくらでもあるのでここでは割愛します。

仕事で必要なメンタルの強さ

これは番外編です。

職場で仕事をしていると、いろんな人と接することになります。

もちろん仕事を前向きに取り組んでる人もいるにはいるけど、そうじゃない人もいっぱいいます。

・文句ばかり不満でいっぱいの人。
・余計なことはやりたくないと、言われたことだけしかやろうとしない人
・人を見下して周りの人を道具として扱うような人。
・自分の仕事だけが大事であって、他の人の仕事はたいしたことないと考える人

私はエンジニアであってマネージャーではないから、こういった人たちのモーチベーションをどのように管理しようという話をしようとしているのではないです。

ただ、セキュリティという仕事をすると、技術の知識も広く必要なのですが、それだけじゃなくて、たくさんの人とのコミュニケーションを取ることも必要になります。

そんな人を見ていると、良い仕事、良い上司、成功体験や失敗体験、人との信頼、いろんな経験が足りないんだろうなぁって思います。

最初から仕事できる人もいないし、そんなうちから強いメンタルを期待されたって無理も当然。

仕事における強いメンタルは、仕事を通じながら作るものだと思ってます。

それができる環境じゃないと、職場は壊れていくかもしれない。。。

セキュリティ侵害とはいつも隣り合わせ

私はいつもセキュリティ侵害と隣合わせで仕事をしている。

だから毎日いろんなログをチェックする。

不正なプロセスが上がってないか、サービスが登録されたりしていないか、未知のファイルが生成されていないか、C&C サーバへの通信は起きていないか、RDP のリバースターミナルが作られていないか、VPN は正しく使われているか、特権アカウントの無断利用がないか、パフォーマンスの異常がないか、アプリケーションエラーが起きてないか。。。

知らない事象が起きていないかどうかを把握するために、いろんなことを知ってないといけない。

コミュニケーションも大事。

協力的な人もいれば非協力的な人もいる。
敵意を持った人まで現れる。

それも仕方がないこと。
その中でなんとかやる。

それが現場のセキュリティエンジニア。

2015年2月のWindowsUpdate

2015年2月のWindowsUpdateがリリースされました。

Internet Explorer の脆弱性が前評判でも緊急扱いでしたが、緊急（リモートでコードが実行される） レベルでパッチがリリースされました。

でも IE だけじゃなかったです。

Windows カーネルモードドライバの脆弱性も、グループポリシーの脆弱性も、Officeの脆弱性も、いろいろと緊急でリリースされてました。

一つ一つの脆弱性について議論するよりかは、まとめて全部適用しましょう。

それで十分。

侵害を見つけるためにプロセスの実行をイベントログに記録する

マシンで不審な動作が行われていないかをチェックするのに、セキュリティイベントログでプロセスの生成や終了を出力させます。

これはグループポリシーで設定できます。

そしてマシンが侵害されると意図せずプロセスの実行が行われるので、これを見つけます。

ただしこのようにして出力するようにしたプロセスの生成イベントは、例えば net.exe コマンドが実行したとか、quser.exe コマンドが実行したとしか、イベントログには出力されません。

侵害が起きたかどうかのイベントを検知するためにはこれも重要な情報なのですが、プログラムの引数も欲しいです。cscript.exe のプロセス生成だけではなくて、引数で VB スクリプトファイル名も知りたいということです。
※もちろんハッカーはスクリプトを実行したら必ずファイルを消しますから、どんなスクリプトかを知ることができるかどうかは微妙です。経験的には 1.bat とか 1.vbs とか、そんなファイル名を好んで使うハッカーも多いようです。


引数を見る方法としてはもう一段進んだログ取得設定をする方法があります。

Microsoft の Sysinternal スイートに含まれる System Monitor を利用します。
このプログラムはサービス登録することができて、その場合に、イベントログに実行されたプロセス情報をより詳しく記録します。

C:\Tools>sysmon.exe -accepteula -i -n -h md5

-i インストール（プロセス生成イベントを記録する）
-n ネットワークのアクティビティも記録する（特定のプロセスのみ記録することもできる）

その他のオプション
-m イベント・マニフェストのみのインストール
-c 設定の変更

Windows 2008以前：システムイベントログに記録
Windows 2008, Windows 7以降：sysmon のカテゴリのイベントログ（アプリケーションとサービス ログ配下にある）に記録

参考URL
https://technet.microsoft.com/en-us/sysinternals/dn798348.aspx

クロスサイトスクリプティング Q&A

クロスサイトスクリプティングって何ですか？
→ インターネットを使っている中で起きるセキュリティ攻撃の一つです。


どこでその攻撃を受けるの？
→ IEやChromeなどのブラウザを使っている中で受けることがあります。


IE や Chrome などにパッチを当てて最新に保てば大丈夫ですか？
→ いいえ。ダメなんです。IE や Chrome がスクリプト実行できることに問題があります。


では IE や Chrome のスクリプトを止めるのはどうですか？
→ JavaScriptやActiveXなどを含むブラウザーのスクリプトを無効にする方法で対応ということも言われますが、著しく使い勝手が悪くなります。個人で楽しむにはスクリプト実行は前提にもなっているので致命的と言っていいです。


クロスサイトスクリプティングの脆弱性があるというのは何？
→ Web サーバがクロスサイトスクリプティング用の対策をしてないということです。


誰が攻撃をするのですか？
→ Web サーバにデータを書き込めるユーザーです。掲示板とかをイメージすれば良くて、誰が攻撃したかを特定できないところにも問題があります。


攻撃が成功したらどうなりますか？
→ パソコン上で知らないプログラムが実行されることになります。マシン上の秘密情報が取られたり、自分のPCを使われて不正が起きて犯人呼ばわりされたりすることもあり得ます。

Symantec CIDS シグネチャ - Web Attack: Joomla JCE Vulnerability

アンチウイルスソフト Symantec の検知イベントでこんなのがありました。

Joomla・・・じゅーむら。オープンソースのツールで複数の人数でブログなどを作るのに使うことができる。PHPで書かれている。

JCE・・・Joomla contents editor の略

 つまり、Joomla は Apache や IIS の Web サーバ上で動作する PHP のツールで、そこの脆弱性に対しての攻撃があったことを示している。

ただ、該当のサーバが Joomla! が使っていなければサーバ上にそもそも脅威は存在しないため意味のない攻撃となる。

ちなみにこの脆弱性の説明を Symantec のサイトで確認すると下記のようにある。

Web Attack: Joomla JCE Vulnerability
http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27481

JCE 2.1.0 is vulnerable; other versions may also be affected.
※ 2015.2.10 時点の記述になります。

またもし Joomla! を利用している場合には、今日（2015.2.10）の時点での最新版は 2.5.28 or 3.3.6 となり、速やかに最新版にアップデートすることが重要。

私はセキュリティエンジニア

私はオンラインゲーム会社に務めていて、セキュリティ専門のチームでセキュリティエンジニアをしています。

ハッキングとかDoSとか、そういったサイバー関係の攻撃の対応がメインの業務です。

セキュリティソリューションの検討や導入、セキュリティ関係の最新動向の把握とシステムへの対応、そしてインシデントレスポンスをしたりします。

常時の負荷は大したことなくて余裕のある感じなのですが、一旦インシデントが起きるとかなりのプレッシャーと緊迫した状態で仕事をしています。

glibc の脆弱性。議論する前に適用を。

glibc の脆弱性が公開されて数日経ちました。

緊急だと騒いだり、影響は少ないから落ち着いて対処をと言ったり。。。

どっちが正しいかを考える必要はない。

攻撃コードが作成される可能性がある。
だから、そうなってしまう前にパッチを急いで当てれば良い。

もし不要なパッチなら適用するのは無駄な作業になるのだからちゃんと調べろという人がいる。
セキュリティエンジニアにとってはそんなこと言われて調べるのが無駄な作業。
なぜなら全ての企業のセキュリティエンジニアが gethostbyname 関数の影響が Apache に影響があるのかどうかとか、メールサーバに影響があるのかどうか分かるわけじゃないからです。

既に危険だとアナウンスされているのだから、私は適用を進めるべきだと思ってる。
Goをかけてもらい、各所に影響があると話をして、スケジュールを立てて、システムエンジニアに作業をしてもらう。
それが企業のセキュリティエンジニア。
もし「お前がやれ」という指示をするなら、その時点で、そこにセキュリティは無いだろう。

私は価値観の理解のあるところで働けていて、とても恵まれている。

Linuxで実行したコマンドのログを取る

Linux ではどんなコマンドが実行されたのか、ログを取るといい。

Sebek2 が有名。

これは Honeynet でもよく使われていて、その場合、ハッカーがどんなコマンドを実行したのか、それをログに取るのに使われる。

ログはリモートに保存される。ちょうど rsyslog のような感じ。

通信は暗号化される。デフォルトポートは 1101 番を使う。

Symantec CIDS シグネチャ文字列: Web Attack: Wordpress Arbitrary File Download

Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。

［検出したリスク］
シグネチャ名: Web Attack: Wordpress Arbitrary File Download
シグネチャ ID: 27847
シグネチャサブ ID: 73094
侵入 URL: xxxxxxx.co.jp/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
侵入ペイロード URL: N/A
イベントの説明: [SID: 27847] Web Attack: Wordpress Arbitrary File Download 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM
イベントの種類: 侵入防止
ハッキングの種類: 0
重大度: 致命的
アプリケーション名: SYSTEM
ネットワークプロトコル: TCP
トラフィック方向: アウトバウンド
リモート IP: 54.175.85.126
リモート MAC: N/A
リモートホスト名: N/A
警告: 1
ローカルポート: 80
リモートポート: 37755

［内容］
・WordPressというブログツールの脆弱性を突いた攻撃
・不正な php ファイルを読み込ませようとしているところをブロックしたので、攻撃は失敗に終わっている。

悪意のあるアクセスなので FW で遮断するといい。

Symantec Web Attack: Exploit Kit Variant

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。

［検出したリスク］
シグネチャ名: Web Attack: Exploit Kit Variant 6
イベントの説明: [SID: 24204] Web Attack: Exploit Kit Variant 6 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
イベントの種類: 侵入防止
重大度: 致命的
アプリケーション名: C:/PROGRAM FILES (X86)/GOOGLE/CHROME/APPLICATION/CHROME.EXE
ネットワークプロトコル: TCP
トラフィック方向: インバウンド
リモート IP: 175.126.123.160
ローカルポート: 49416
リモートポート: 80

［状況］
Google Chrome アクセスでハッキングに利用されるプログラムのダウンロードが行われたためにブロックしたというメッセージ。
Web サイトの IP アドレスが”リモートIP”に記載されている。
ファイルは遮断しているので、ダウンロードに失敗している。

特に追加の処置は不要。

Symantec Web Attack: Malicious File Download

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で現れたメッセージ。

［検出したリスク］
シグネチャ名: Web Attack: Malicious File Download 24
イベントの説明: [SID: 27892] Web Attack: Malicious File Download 24 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
イベントの種類: 侵入防止
重大度: 致命的
アプリケーション名: C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE.EXE
ネットワークプロトコル: TCP
トラフィック方向: インバウンド
リモート IP: 80.252.188.229
ローカルポート: 50805
リモートポート: 80

［状況］
Internet Explorer アクセスで悪意のあるファイルのダウンロードが行われたためにブロックしたというメッセージ。
Web サイトの IP アドレスが”リモートIP”に記載されている。
ファイルは遮断しているので、ダウンロードに失敗している。

特に追加の処置は不要。

［補足］
シグネチャ名にある 24 という数字はシグネチャに振られた番号でしょうか？検索すると 12 とか 24 とかあるみたいです。

Symantec CIDS シグネチャ - OS Attack: GNU Bash CVE-2014-6271

Symantec 管理コンソールを開いて、「ログ」－「ネットワーク脅威防止」で確認できたメッセージ。

［検出したリスク］
シグネチャ名：OS Attack: GNU Bash CVE-2014-6271
侵入 URL:127.0.0.1/cgi-bin/authLogin.cgi
イベントの説明:[SID: 27907] OS Attack: GNU Bash CVE-2014-6271 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: SYSTEM
イベントの種類:侵入防止
リモート IP: 113.42.244.56

［状況］
・Webサーバで、リモートから該当の攻撃を受け付けた。
・攻撃は Symantec が遮断したため、不成立。

［処置］
攻撃をしてきた IP アドレス 113.42.244.56 は ファイアーウォール で遮断。
※ IP アドレスレベルでブロックし、二度とアクセスできるようにする必要はない。


［どんな攻撃？］
CVE コード（CVE-2014-6271）で検索すればいろいろと情報は手に入るが、Bash の脆弱性を突いた攻撃。shellshock という通称が付いている。

Cygwin の Bash でもテストコマンドを試すことができて、下記のコマンドを実行して結果を見ると問題があるかどうかが分かる。

shellshock の脆弱性の確認

[/home/marumarutonton] $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

ここで、もし vulnerable というメッセージも表示されたら問題があることになる。

１．環境変数 x に '() { :;}; echo vulnerable' という値を代入している。
２．環境変数のリストの後に () という文字が含まれていると次は関数定義
３．関数定義は { 関数名; }; で記載する。関数定義の後には実行コードが続く。
４．問題のある Bash だと、x='() { :;}; echo vulnerable' で変数が代入するのではなくて、関数定義を読んでしまったり、echo vulnerable が実行コードとしてそのまま実行されてしまう。

STOP エラーの発生をイベントログで検知する

STOP エラーが発生した時のイベントログの出力例。

ソース EventLog からのイベント ID 6008 番。

システム イベントログ

ソース： EventLog
種類： エラー
イベントID： 6008
説明：
以前のシステム シャットダウン（yyyy/mm/dd hh:mm:dd）は予期されていませんでした。

ソース DrWatson からのイベント ID 4097 番。

アプリケーション イベントログ

ソース： DrWatson
種類： 情報
イベントID： 4097
説明：
アプリケーション C:\WINDOWS\system32\winlogon.exe がアプリケーション エラーを起こしました。dd/mm/yyyy HH:MM:SS xxx にエラーが発生しました。発生した例外 c00000005 アドレス 10059E07 (module name)

ソース Application Error からのイベント ID 1000 番。
※必ずしも STOP エラーとは限らない。

アプリケーション イベントログ

ソース： Application Error
種類： エラー
イベントID： 1000
説明：
エラー発生アプリケーション 、バージョン 0.0.0.0、エラー発生モジュール xxxxxx.dll、バージョン 0.0.0.0、エラー発生アドレス 0x00059e07

STOP エラーの後、タスクスケジューラサービスの起動に失敗

Windows 2003 Server で起きた問題。

STOP エラーが起きた直後で、タスクスケジューラサービスの起動に失敗したことがありました。

OS 起動時のダイアログ

タイトル：　サービス コントロール マネージャ
システム スタートアップの最中、少なカウとも 1 つのサービスまたはドライバにエラーが発生しました。詳細はイベント ビューアのイベント ログを参照してください。

よく出るメッセージです。

自動起動に設定されていて起動していないサービスをチェックしたところ、３つ起動していないものがありました。

１．Microsoft .NET Framework NGEN v4.0.30319_X86
２．Task Scheduler
３．Windows Firewall/Internet Connection Sharing (ICS)

１は他の Windows 2003 Server でも起動していないサーバがあったので特別問題ではないようです。
３は特に使わない機能だったのでこれも問題はないようです。


Task Scheduler サービスが起動していないのがおかしいです。


タスクのデータが入っているフォルダを見てみます。
C:\Windows\Tasks

タスクスケジューラのログファイル SchedLgU.Txt があります。

"タスク スケジューラ サービス"
5.2.3790.3959 (srv03_sp2_rtm.07216-1710)
        終了 yyyy/mm/dd mm:dd:ss
"タスク スケジューラ サービス" yyyy/mm/dd mm:dd:ss ** エラー **
        サービスの初期化中に問題が発生しました。。
        エラー:
        0x800706b5 : そのインターフェイスは認識されません。
"タスク スケジューラ サービス"
        終了 yyyy/mm/dd mm:dd:ss

ipconfig /all を見たら IP アドレスは設定されていて、サーバから他のマシンへの接続はできていました。

だけど、他のマシンからの接続が、ping も telnet も rdp も何も受け付けない状態となっていました。

結局手動リブートをして復旧をしました。

STOP エラーが起きて、自動リブートの後でネットワークが使えない状態で上がってくるのを見たのははじめてのことでした。

ジョブ（$~$Sys0$.job）の実行履歴

タスクスケジューラのログファイル SchedLgU.Txt  にこのようなログが表示されていた場合。

"$~$Sys0$.job" (rundll32.exe)
        開始 20xx/xx/xx mm:dd:ss
        結果: タスクは次の終了コードで完了しました: (0).

このマシンはウィルスに感染しています。

アンチウイルスで検知したかどうかの問題ではありません。

速やかにネットワークから切り離し、マシンのリプレースが必要です。

Windows マシンをリモートでアクセスする時 RDP は必ずログオフで切断すること

Windows マシンをリモートでアクセスするのに RDP を使うケース。

作業が終わったら、再接続のために×ボタンで切断したり、タイムアウトでセッションを切断することがある。

しかし、この様な場合、管理マネージャを見れば分かるが、RDPセッションはアクティブのまま残っている。

このような状態でセッションが残っていると、アクセス元マシンがハッキングされた場合に RDP セッションを再利用される心配がある。

RDP アクセスは必ずログオフで切断すること。

アンチウイルスソフトが tmp フォルダのファイルを検知したときには既にそのマシンはマルウェアに感染している

アンチウイルスソフトの管理をしていると、tmp フォルダのファイルを検知することが有ります。

［検知内容］
リスク名: Trojan.Gen.2
ファイルパス: C:\Users\ユーザー名\AppData\Local\Temp\nsp71D9.tmp
送信元: リアルタイムスキャン

リアルタイムスキャンでセーフなパターンはいくつかあるけど、例えばブラウザとか使ってファイルをダウンロード中にファイルを検知した場合はセーフですね。

でもその場合には検知ファイルのパスはこうなるはずです。
・IE のダウンロード先は既定では Download フォルダ
・Chrome のダウンロード先は既定では  C:\Users\<ユーザー名>\Downloads

Temp フォルダにファイルが作成されるケースは、既に悪意のあるプログラムが実行していて、そのプログラムが作った一時ファイルを検知するという場合があります。
今回はそのケースでした。

トロイの木馬でマシン情報を集めてインターネット上へアップロードする機能を持っているものでした。
幸い、ファイルが作成されたタイミングで削除しているので、それ以上の悪意ある行動は取れなかったようです。
すみやかにマシンを入れ替えました。