Alibaba Cloud Security Center #37 Malicious Software を検知

このブログは Alibaba Cloud Elastic Compute Service の Linux インスタンス上に WordPress を構築しそこでインターネットに公開しています。　インターネットに公開ということである程度のセキュリティを保つ必要があるのでそのために Security　Center の Enterprise Edition を導入しています。　その Security Center が Malicious Software を検知した話の紹介です。

E-Mail による警告

以下の内容のメールが届きました。/root/eicar.com を検知したよとの警告です。　eicar はいわゆるアンチウイルスソフトのテスト用の無害なファイルですがそれを検知し教えてくれているメールです。

Security Event Alert
Dear Alibaba Cloud user xxxxx@bigriver.jp，Hello！


Assets in your name bigriver3 security alert has occurred：EngineTestFile

suggest youClick to proceed，Prevent hackers from further action。

-------
EngineTestFile Emergency

Time of occurrence：2024-04-21 00:15:19
IP：47.245.57.*** 172.24.203.***
Alarm description：The detection model found that the engine test program exists on the host The engine test program is mostly used to check whether the virus detection engine is working properly

-------
Details of anomalous events
Alert：A virus engine test program was found on your system disk, the current host virus detection engine is working normally

file path：/root/eicar.com

Malicious File MD5：44d88612fea8a8f36de82e1278abb02f

Scan type： System health checking scan

scan type：Server scan.

pid ： 0

cmdline： N/A

File creator name： N/A

File change time： 2006-09-05 05:16:04

Malware Families & Features：Engtest:Multi/Eicar

Description：A virus engine test program is detected on the host, and the virus engine test program is mostly used to test whether the virus detection engine is working normally

Advice：The current host virus detection engine is working normally. It is recommended to click [Process] -> [Ignore] -> [Process Now] to ignore this alarm.

-------
Event description

The detection model found that the engine test program exists on the host The engine test program is mostly used to check whether the virus detection engine is working properly

Security Center の Alerts 画面

以下のスクリーンショットの通り 2024/4/21 に 3件、EngineTestFile Malicious Software としてアラートがあがりました。

3件あるのは3か所に eicar テストファイルを保存していたためです。　各アラートの詳細を開くとメールで届いた内容と同じものを確認可能です。

原因と対処

このテストファイルがどうしてあるのか。　eicar テストファイルは 2020年の5月に配置したものです。当時、Security Center を導入し色々機能をテストしていて eicar もダウンロードした記憶があります。当時の記事もみつかりました（URL）。　2020年5月の記事を読み直すと eicarファイルは予想と期待に反してブロックされずにダウンロードされ、また、中身も開けてしまい想定と違うなと思いつつ原因不明で放置していました。　　

それが4年後に今になって夜01:00過ぎの Scan で検知されアラート発砲された状況です。　4年後に発砲されたトリガーは昨日に実施した Anti-ransomeware のエージェントのアンインストールと再インストールと考えられます（その話はこちら）。　再インストール後から正常に機能した可能性が高いと考えています。　

ただし、これまでウイルススキャンが全く動いていなかったとは考えておりません。　理由は Security Center のVirus Detection and Removal の以下の画面から過去のタスクの実行状況を確認できるのですが、

以下が過去のタスク一覧、今回アラートが発砲された 2024/4/21 より前も3日間隔で Scan は実施されて正常に完了していることがわかっています。

きっかけは 4月20日に行った Anti-ransomeware のエージェントのアンインストールとインストールが一番怪しいのですが確証はありません。　あとは4月18日以降で Ubuntu OS を18.04 から 20.04 にバージョンアップしているのでこれも関連しているかもしれませんが正直わかりません。