検索
連載

SQL Slammerのコードを解析せよ!リバースエンジニアリング入門(最終回)(1/3 ページ)

コンピュータウイルスの解析などに欠かせないリバースエンジニアリング技術ですが、何だか難しそうだな、という印象を抱いている人も多いのではないでしょうか。この連載では、「シェルコード」を例に、実践形式でその基礎を紹介していきます。(編集部)

PC用表示 関連情報
Share
Tweet
LINE
Hatena
※ご注意
本記事で説明したコードを自身の管理下にないネットワーク・コンピュータで実行した場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような検証を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバで行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。

そしてマルウェア解析へ……

 ここまで6回連載してきた「リバースエンジニアリング入門」も今回の7回目で最終回となります。“心が折れる前に読み切る!”をテーマにしてきましたが、最後のほうは段々とアセンブリ命令漬けで心が折れてしまった人もいるかもしれません……。しかし、ここまで取り上げてきたシェルコードを丁寧に読み込み、1ステップずつ理解してきた方ならばきっと“リバースエンジニアリング力”が備わっているのではないかと思います。

 今回はリバースエンジニアリング入門の卒業課題として、実際のマルウェアであるSQL Slammerを取り上げたいと思います。

 SQL Slammerのサイズはわずか400バイト程度で、マルウェアといっても動作はほぼシェルコードと変わりません。今までのdownload_execやshell_bind_tcpのシェルコード解析で身に付けたスキルを用いれば、難しい題材ではありません。2003年に猛威をふるった本物のマルウェアを解析し、ここまでで身に付けた知識が実際のマルウェア解析に生かせることを実感してください。

2003年に世間を騒がせたSQL Slammerとは?

 解析に入る前の背景知識としてSQL Slammerについて簡単に説明します。SQL Slammerは2003年に世間を騒がせたワーム型のマルウェアで、MicrosoftのSQL Server 2000(Microsoft Desktop Engine 2000:MSDE)に存在したバッファオーバーフローの脆弱性(MS02-039)を狙って攻撃を行います。

 このワームの特徴はその感染速度にあり、標的マシンへの侵入に成功すると自分自身を乗せたUDPパケットを力の限り投げまくり、感染拡大活動を行います。わずか10分間で7万5千台のコンピュータに感染したといわれています。

 SQL Slammerに関しては多くの研究やニュースなどがWeb上で見つかります。興味のある方は、ぜひ検索エンジンなどで探してみてください。

【関連記事】
SQLワーム被害に「人災だ」の声、日本での影響は軽微(@ITNews)
http://www.atmarkit.co.jp/news/200301/28/sqlworm.html
管理者のジレンマを突いて爆発的に繁殖したSQL Slammer(@IT Windows Server Insider)
http://www.atmarkit.co.jp/fwin2k/insiderseye/20030128sqlworm/sqlworm.html

検体の入手方法

 まずはSQL Slammerの検体を入手します。このサイトからSQL Slammerが入ったUDPパケットをpcap形式で取得できます(slammer.pcapをクリックするとダウンロードできます)。

 なお、このpcapには本物のSQL Slammerが含まれていますので、自己責任で扱うようお願いいたします。場合によってはアンチウイルスソフトが反応する可能性もありますのでご注意ください。

 Wireshark などのパケットアナライザで中を見てみるとUDPパケットが1つだけあります。この1つのUDPパケットの中にSQL Slammerの本体が格納されています(図1)。

図1 Wiresharkでslammer.pcapを開いた様子(クリックすると拡大します)
図1 Wiresharkでslammer.pcapを開いた様子(クリックすると拡大します)

 それでは、このSQL Slammer入りpcapをIDAで直接開いてSQL Slammerのコードを解析してみましょう(もちろん、UDPパケットのペイロード部分をファイルとして切り出して、それをIDAで開いても構いませんが、その際は以下の説明とファイルオフセットが変わりますのでご注意ください)。

       | 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  2. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  3. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  4. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  5. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. SBOMの本質を大阪大学 猪俣教授が語る――「うちのソフトは大丈夫なんです」とユーザーにどう証明する?
  8. Google、「パスキー」のアップデートを発表 新たに導入された「パスワードマネジャーPIN」とは?
  9. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  10. 「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
ページトップに戻る