not found

Уважаемый пользователь !

Запрошенная Вами страница является устаревшей. В связи с недавней
реструктуризацией проекта вы могли попасть на эту страницу со
стороннего сервера по ссылке, утратившей актуальность. Рекомендуем Вам
перейти к заглавной странице нашего сервера и поискать требуемый вами материал в архиве проекта

С Т А Т Ь Я - 08 / 11 / 2000

АНАЛИЗ АКТИВНОСТИ СЕТЕВЫХ ЧЕРВЕЙ

В настоящее время Lance Spitzner проводит эксперименты по исследованию различных видов сетевых атак непосредственно в процессе их осуществления (так сказать в реальном времени).Для этого он инсталлирует системы так , чтобы либо они были замедомо уязвимы для какого-то более-менее распространенного вида атак, либо использует специальные средства, которые создают видимость наличия уязвимостей.Для такие систем появился термин "honeypot" (приманки),а сеть таких хостов - honeynet.

Конечной целью слежения за происходящими извне атаками является не поимка хакеров ,а изучение их методов впроникновения в системы, для выработки соответствующих рекомендации для пользователей по защите их систем . В своей последней статье он описывает атаки сетевых червей ,с которыми он столкнулся за последнее время.

Вступление:

Наши системы , используюшиеся в качестве приманки сканировались по 137 и 139 портам, по 5-10 раз в день, в течение продолжительного времени(здесь и далее перевод от первого лица).Такое сканирование показалось нам несколько странным и мы поставили перед собой задачу ,выяснить причины этой нестандартной активности.Из выбранных для сканирования номеров портов следовало, что целью были хосты под windows.Мы инсталлировали хост-приманку под win98 и стали ждать.

Инсталляция ловушки

В течение одного месяца (c 20 сентября - 20 октября ) мы насчитали 524 уникальных NetBIOS скана нашей honeynet . Часть сканирования велась по 137 порту UDP (NetBIOS Naming Service), за этим типом сканов обычно следовало сканирование по 139 порту TCP (NetBIOS Session Service).Большое количество однообразных попыток сканирования специфических служб указывало на его нестандартность .После инсталляции honeynet network мы никак не афишировали ее присутствие в Internet. Мы лишь подключили наши системы к сети и стали ждать, так как наиболее вероятно, что большинство попыток сканирования были случайными и не были направлены исключительно на нашу подсеть.Мы сделали вывод, что поскольку оно затрагивало только хосты под Windows , то это не корпоративный шпионаж и т.п.Скорее оно направлено на простых домовладельцев , подключенных к Inetnet через DSL или кабельные модемы.

Исходя из этого для honeynet мы выбрали дефолтовую инсталляцию Win98 и расшарили диски c:.Хосты под Win98 - большое количество систем подключенных к Internet и число их быстро растет.Их система безопасности наиболее слабая, поскольку обыватели являются почти единственными ее пользователями,и которые не осознают риск которому они себя тем самым подвергают.

Оставалось непонятным ,кто же производит это сканирование ,каковы его цели , почему количество его повторных попыток явно избыточно. Были ли это чьи-то скоординированные усилия или проявление активности сетевых червей?

Итак, 31 октября система honeynet была инсталлирована , включен шаринг ресурсов и подключена к Inernet.

Первый червь.

Менее чем через 24 появился первый посетитель. Хост 216.191.92.10 (host-010.hsf.on.ca) произвел сканирование нашей подсети на предмет наличия хостов под Windows.Он нашел нашу систему под win98 и продолжил запросы. Сначала он определял NetBIOS имя и проверял на расшаренность ресурсов.Если она присутсвовала , он искал какие-то специфические бинарники,видимо, для проверка того, не инсталлирован ли уже специфический код. Если нет,то он инсталлировал его.Этот код оказался червем Win32.BymerWorm.Его целью является использование процессорного времени хоста для чьего-то успешного участия в проекте distributed.net. Distributed.net - группа , которая задейсвует неиспользуемые мощности распределенной вычислительной сети для различных целей ( например,таких как взлом ключа RC5-64).Чем большими вычислительными мощностями вы располагаете, тем больше шансов одержать победу и получить приз.

Кто-то (в нашем случае это bymer@inec.kiev.ua *) с помощью червя делает нас "добровольными" участниками своего проекта.Червь инсталлирует клиент distributed.net и запускает его.По мере этого он производит дальнейший поиск уязвимых систем и теоретически его распространение должно происходить с экспоненциальным ростом. Далее мы рассмотрим сетевые пакеты сопровождающие атаку ,полученные с помощью IDS sniffer snort. Для более глубокого анализа работы NetBIOS будем использовать анализатор протоколов Ethereal. 172.16.1.105 - IP адрес нашей honeypot.

Сначала червь проверяет наличие в системе файла dnetc.ini.Это стандартный кофигурационный файл для клиента distributed.net, который сообщает главному серверу, кому засчитывать выполненную работу.Здесь приводится трассировку пакета , где происходит инициализация копирования удаленной системой (NetBIOS name GHUNT, account GHUNT, domain HSFOPROV) конфигурационного файла на нашу систему: 11/01-15:29:18.580895 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:50235 DF *****PA* Seq: 0x12930C6 Ack: 0x66B7068 Win: 0x2185 00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00 ...[.SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 82 D1 0F FF 00 00 00 07 00 91 00 16 00 20 ............... 00 DC 1C 00 3A 10 00 00 00 00 00 00 00 00 00 00 ....:........... 00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 64 6E 65 74 63 2E 69 6E 69 00 STEM\dnetc.ini. Ниже мы видим непосредственно копирование тела файла.Обратите внимание ,кому будут засчитываться очки - bymer@inec.kiev.ua. Возможно,это и есть автор червя. 11/01-15:29:18.729337 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:50747 DF *****PA* Seq: 0x1293125 Ack: 0x66B70AD Win: 0x2140 00 00 01 11 FF 53 4D 42 0B 00 00 00 00 00 01 00 .....SMB........ 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 02 D2 05 00 00 E1 00 00 00 00 00 E1 00 E4 ................ 00 01 E1 00 5B 6D 69 73 63 5D 20 0D 0A 70 72 6F ....[misc] ..pro 6A 65 63 74 2D 70 72 69 6F 72 69 74 79 3D 4F 47 ject-priority=OG 52 2C 52 43 35 2C 43 53 43 2C 44 45 53 0D 0A 0D R,RC5,CSC,DES... 0A 5B 70 61 72 61 6D 65 74 65 72 73 5D 0D 0A 69 .[parameters]..i 64 3D 62 79 6D 65 72 40 69 6E 65 63 2E 6B 69 65 d=bymer@inec.kie 76 2E 75 61 0D 0A 0D 0A 5B 72 63 35 5D 0D 0A 66 v.ua....[rc5]..f 65 74 63 68 2D 77 6F 72 6B 75 6E 69 74 2D 74 68 etch-workunit-th 72 65 73 68 6F 6C 64 3D 36 34 0D 0A 72 61 6E 64 reshold=64..rand 6F 6D 70 72 65 66 69 78 3D 32 31 37 0D 0A 0D 0A omprefix=217.... 5B 6F 67 72 5D 0D 0A 66 65 74 63 68 2D 77 6F 72 [ogr]..fetch-wor 6B 75 6E 69 74 2D 74 68 72 65 73 68 6F 6C 64 3D kunit-threshold= 31 36 0D 0A 0D 0A 5B 74 72 69 67 67 65 72 73 5D 16....[triggers] 0D 0A 72 65 73 74 61 72 74 2D 6F 6E 2D 63 6F 6E ..restart-on-con 66 69 67 2D 66 69 6C 65 2D 63 68 61 6E 67 65 3D fig-file-change= 79 65 73 0D 0A yes.. Следующий файл , который будет закачиваться - сам клиент distributed.net ,dnetc.exe. Это обычный клиент,без какой-либо модификации кода. 11/01-15:34:09.044822 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:33084 DF *****PA* Seq: 0x129341A Ack: 0x66B71C0 Win: 0x202D 00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00 ...[.SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 04 26 0F FF 00 00 00 07 00 91 00 16 00 20 ...&........... 00 FE 1D 00 3A 10 00 00 00 00 00 00 00 00 00 00 ....:........... 00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 64 6E 65 74 63 2E 65 78 65 00 STEM\dnetc.exe. Затем идет собственно бинарник червя, ms1216.exe.Это саморазмножающийся червь , который случайным образом выбирает системы для дальнейших атак.Его деятельностью и обясняется то загадочное сканирование с которым мы столкнулись. 11/01-15:37:23.083643 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:40765 DF *****PA* Seq: 0x12C146A Ack: 0x66C248B Win: 0x20B2 00 00 00 5C FF 53 4D 42 2D 00 00 00 00 00 01 00 ...\.SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 02 F3 0F FF 00 00 00 07 00 91 00 16 00 20 ............... 00 C0 1E 00 3A 10 00 00 00 00 00 00 00 00 00 00 ....:........... 00 00 00 1B 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 6D 73 69 32 31 36 2E 65 78 65 00 STEM\msi216.exe. Наконец червь модифицирует и аплоадит новый win.ini. Удаленный запуск исполнимого файла под win98 потенциально может вызвать трудности , поэтому червь поступает просто - будучи добавленным в c:\windows\win.ini , при следующей перезагрузке он запустится: 11/01-15:38:55.352810 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:1342 DF ******A* Seq: 0x12C6F55 Ack: 0x66C95FC Win: 0x1FBF 00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00 ...h.SMB........ 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 02 F9 0C 0D 00 61 19 00 00 00 00 00 00 00 .......a........ 00 00 00 00 00 00 00 00 00 2C 0B 3C 00 2D 0B 00 .........,.<.-.. 5B 77 69 6E 64 6F 77 73 5D 0D 0A 6C 6F 61 64 3D [windows]..load= 63 3A 5C 77 69 6E 64 6F 77 73 5C 73 79 73 74 65 c:\windows\syste 6D 5C 6D 73 69 32 31 36 2E 65 78 65 0D 0A 72 75 m\msi216.exe..ru 6E 3D 0D 0A 4E 75 6C 6C 50 6F 72 74 3D 4E 6F 6E n=..NullPort=Non 65 0D 0A 0D 0A 5B 44 65 73 6B 74 6F 70 5D 0D 0A e....[Desktop].. 57 61 6C 6C 70 61 70 65 72 3D 28 4E 6F 6E 65 29 Wallpaper=(None) 0D 0A 54 69 6C 65 57 61 6C 6C 70 61 70 65 72 3D ..TileWallpaper= 31 0D 0A 57 61 6C 6C 70 61 70 65 72 53 74 79 6C 1..WallpaperStyl 65 3D 30 0D 0A 0D 0A 5B 69 6E 74 6C 5D 0D 0A 69 e=0....[intl]..i Это все, работа червя закончена и наша приманка инфицирована.Все что необходимо теперь это перезагрузка системы: Я думаю многие ,исходя из личного опыта ,могут сказать ,что необходимость в перезагрузки появляется достаточно быстро. После того как она произошла :

1 Начинает работать в обычном режиме клиент distributed.net, используя ваше процессорное время.
2 Червь начинает сканирование по 137 и 139 портам с целью поиска других уязвимых систем
3 При этом он может добавить в реестр следующие ключи.

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\Bymer.scanner
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices\Bymer.scanner

Второй червь Второй червь появился на следующий день .Он являлся новой версией первого червя.Единственным отличием было то , что все файлы были скомбинированы в один исполнимый wininit.exe. В исталляция Win98 по умолчанию также присутствует файл wininit.exe, т.е. это стандартная тактика маскировки под части операционной системы.Далее приводится трассировка инфицирования нашего хоста другой удаленной системой (NetBIOS name WINDOW, account WINDOW, domain LVCW): 11/02-21:41:17.287743 216.234.204.69:2021 -> 172.16.1.105:139 TCP TTL:113 TOS:0x0 ID:38619 DF *****PA* Seq: 0x21CC0AC Ack: 0xCE6736B Win: 0x2185 00 00 00 5D FF 53 4D 42 2D 00 00 00 00 00 01 00 ...].SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 D0 4F 1F ..............O. 00 00 84 EE 0F FF 00 00 00 07 00 91 00 16 00 20 ............... 00 20 BB 01 3A 10 00 00 00 00 00 00 00 00 00 00 . ..:........... 00 00 00 1C 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 77 69 6E 69 6E 69 74 2E 65 78 65 STEM\wininit.exe 00 После инсталляции червь снова модифицирует win.ini, добавля себя в startup, в то время как там уже присутствует запись загрузки червя предыдущей версии: 11/02-21:41:48.538643 216.234.204.69:2021 -> 172.16.1.105:139 TCP TTL:113 TOS:0x0 ID:21212 DF ******A* Seq: 0x22021C9 Ack: 0xCE68EC7 Win: 0x1FA3 00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00 ...h.SMB........ 00 00 00 00 00 00 00 00 00 00 00 00 00 D0 4F 1F ..............O. 00 00 84 F4 0C 0F 00 7F 19 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 2C 0B 3C 00 2D 0B 00 .........,.<.-.. 5B 77 69 6E 64 6F 77 73 5D 0D 0A 6C 6F 61 64 3D [windows]..load= 63 3A 5C 77 69 6E 64 6F 77 73 5C 73 79 73 74 65 c:\windows\syste 6D 5C 77 69 6E 69 6E 69 74 2E 65 78 65 20 63 3A m\wininit.exe c: 5C 77 69 6E 64 6F 77 73 5C 73 79 73 74 65 6D 5C \windows\system\ 6D 73 69 32 31 36 2E 65 78 65 0D 0A 72 75 6E 3D msi216.exe..run= 0D 0A 4E 75 6C 6C 50 6F 72 74 3D 4E 6F 6E 65 0D ..NullPort=None. 0A 0D 0A 5B 44 65 73 6B 74 6F 70 5D 0D 0A 57 61 ...[Desktop]..Wa После пеерезагрузки этот червь как и предыдущий стартанет и займется вышеописанной деятельностью.

На следующий день

Днем позже разные версии червя сканировали наши хосты и сравнивали версии установленных червей со своими (одни часть проверяла версию wininit.exe , другая - msi216.exe ) Во всех случаях версии совпали и они оставили нас в покое.Пример трассировки этих пакетов: ( NetBIOS name MATTHEW, account MPYLE, domain MPYLE) 11/03-04:42:11.596636 210.111.145.180:2341 -> 172.16.1.105:139 TCP TTL:115 TOS:0x0 ID:12574 DF *****PA* Seq: 0x2345C04 Ack: 0xE65CC94 Win: 0x2171 00 00 00 5D FF 53 4D 42 2D 00 00 00 00 00 01 00 ...].SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 D8 B5 1D ................ 00 00 81 3E 0F FF 00 00 00 07 00 91 00 16 00 20 ...>........... 00 3A 26 02 3A 10 00 00 00 00 00 00 00 00 00 00 .:&.:........... 00 00 00 1C 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 77 69 6E 69 6E 69 74 2E 65 78 65 STEM\wininit.exe 00 Интересное началось позже ,на следующий день, 4 ноября , удаленная система 207.224.254.206 (dialupF206.sttl.uswest.net, NetBIOS name SOCCERDOG, account SCOTT, domain RONS) проверила наш honeypot на наличие dnetc.ini.Затем сравнил версию инсталлированного бинарника и оставил нас в покое. Через 3 дня по аналогичная повторная проверка проводилась еще 5 раз.Позже в этот день одна из наших систем инициировала http соединение с системой bymer.boom.ru.Это соединение было установлено червем с целью апдейта master server .Предположительно, какое-то время до этого этот хост был master controller'ом для червя, так как когда мы зарезолвили доменное имя bymer.boom.ru , то получили IP - 192.168.0.1.Возможно причиной этого были попытки контроллера домена препятсвовать распространению червя. Осталось не выясненым,только одно - для того чтобы начать работу и установить соединение, червю было необходимо сделать reboot нашей системы.Как и когда это произошло мы не знаем.Это наглядный пример одного из недостатков хостов-ловушек под WIn98 - ограниченная доступность информации о событиях в системе ,по причине отсутствия логов. Ниже приводится лог того,как наша система производит соединение сbymer.boom.ru : 11/04-23:56:38.855453 172.16.1.105:1027 -> 192.168.0.1:80 TCP TTL:127 TOS:0x0 ID:65300 DF **S***** Seq: 0x17AF8D9A Ack: 0x0 Win: 0x2000 TCP Options => MSS: 1460 NOP NOP SackOK Вслед за этим клиент dnetc.exe соединяется с сервером distributed.net и начинает переедачу данных. Эта часть - обычная работа клиента distributed.net, а не червя.Но она является конечной целью работы червя - использование вычислительной мощности CPU и аплоад результатов на distibuted.net: 11/04-23:56:40.286898 172.16.1.105:1029 -> 204.152.186.139:2064 TCP TTL:127 TOS:0x0 ID:1301 DF *****PA* Seq: 0x17AF8F47 Ack: 0xBE445ED3 Win: 0x2238 AE 23 E2 77 F6 42 91 51 3E 61 3F EE 86 7F EE 8B .#.w.B.Q>a?..... CE 9E 9D 28 16 BD 4B C5 5E DB FA 62 A6 FA A8 FF ...(..K.^..b.... EF 19 57 9C 37 38 06 39 7F 56 B4 D6 C7 75 63 73 ..W.78.9.V...ucs 0F 94 12 10 57 B2 C0 AD 9F D1 6F 4A E7 F0 1D E7 ....W.....oJ.... 30 0E CC 84 78 2D 7B 21 C0 4C 29 BE 08 6A D8 5B 0...x-{!.L)..j.[ 50 89 86 F8 98 A8 35 95 E0 C6 E4 32 28 E5 92 CF P.....5....2(... 71 04 41 6C B9 22 F0 09 01 41 9E A6 49 60 4D 43 q.Al."...A..I`MC 91 7E FB E0 D9 9D AA 7D 21 BC 59 1A 69 DB 07 B7 .~.....}!.Y.i... B1 F9 B6 54 FA 18 64 F1 42 37 13 8E 8A 55 C2 2B ...T..d.B7...U.+ CF 32 45 19 1A 93 1F 65 62 B1 CE 02 AA D0 7C 9E .2E....eb.....|. C5 46 78 29 F0 13 97 04 .Fx).... После того как аплоад завершен , червь переходит на новый уровень активности и начинает сканирование, случано вибирая хосты, с целью дальнейшего распространения.Наша система настроена на блокировку любого трафика ,производимого вредоносными программами, поэтому соответствующий трафик не выходит за пределы нашей подсети. 11/04-23:58:05.946299 172.16.1.105:137 -> 39.202.248.187:137 UDP TTL:127 TOS:0x0 ID:30485 Len: 58 0E 94 00 10 00 01 00 00 00 00 00 00 20 43 4B 41 ............ CKA 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 41 41 41 41 41 41 41 41 41 41 41 41 41 00 00 21 AAAAAAAAAAAAA..! 00 01 Одна вещь , на которую хочу обратить внимание - win.ini был повторно модифицирован новой версией червя wininit.exe, была убрана строка запуска своей старой версии msi216.exe. Также был модифицирован dnetc.net , e-mail изменился с bymer@inec.kiev.ua на bymer@ukrpost.net.Это пример конкуренции червей за "жизненное пространство".

Если вы хотите восстановить картину атаки сами ,то полный набор перехваченных пакетов с бинарниками вируса, перехваченных за 4 дня работы honeynet можно скачать здесь http://stan.ksni.net/~lance/win98.tar.gz.Помните, что эти черви обнаружены в диком виде следовательно вы будете работать с опасным материалом.На всякий случай архив предлагаю архив не содержащий бинарников червя: http://stan.ksni.net/~lance/win98-wo.tar.gz

Заключение

Мы рассмотрели как в течении 4 дней наши системы были атакованы сетевыми червями , которые автоматически проидентифицировали и проникли в некоторын из них .Это не значит, что вся зафиксированная активность по сканированию - следствие деятельности червей. Но вполне возможно предположить , что эти (или подобные) черви могли быть модифицированы для сбора конфиденциальной информации о вашей системе и отправки ее на анонимный e-mail аккаунт,уже захваченный сервер,irc и т.д.Варианты подобных атак ограничены только воображением.

* Я думал это парни с hackzone устали ,наконец, ломать этот RC5 традиционными методами,и решили наконец побольше народу подключить к проекту :) (примеч. переводчика)

ya_mun

not found Уважаемый пользователь !

Запрошенная Вами страница является устаревшей. В связи с недавней
реструктуризацией проекта вы могли попасть на эту страницу со
стороннего сервера по ссылке, утратившей актуальность. Рекомендуем Вам
перейти к заглавной странице нашего сервера и поискать требуемый вами материал в архиве проекта