ПЕРВЫЙ ЧЕРВЯК


Предисловие Благодарности Введение Поле битвы ПРОЕКТ HONEYNET СИСТЕМА HONEYPOT СЕТЬ HONEYNET Назначение Honeynet Система Honeypot в сети Honeynet РЕЗЮМЕ Как работает Honeynet КОНТРОЛЬ ДАННЫХ ЗАПИСЬ ДАННЫХ Уровень контроля доступа Сетевой уровень Системный уровень Автономный уровень СОЦИОТЕХНИКА Риск РЕЗЮМЕ Создание сети Honeynet ОБЩАЯ АРХИТЕКТУРА КОНТРОЛЬ ДАННЫХ ЗАПИСЬ ДАННЫХ ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ РЕЗЮМЕ АНАЛИЗ Анализ данных РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА АНАЛИЗ IDS СИСТЕМНЫЕ ЖУРНАЛЫ РЕЗЮМЕ Анализ взломанной системы НАПАДЕНИЕ АНАЛИЗ Взлом ПОЛУЧЕНИЕ ДОСТУПА ВОЗВРАЩЕНИЕ РЕЗУЛЬТАТЫ АНАЛИЗА РЕЗЮМЕ Продвинутый анализ данных ПАССИВНАЯ ДАКТИЛОСКОПИЯ Сигнатуры Пример ICMP СИСТЕМНОЕ ВСКРЫТИЕ РЕЗЮМЕ Практика системного вскрытия ОБРАЗЫ ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT ВРЕМЯ MAC УДАЛЕННЫЕ СТРУКТУРЫ INODE ВОССТАНОВЛЕНИЕ ДАННЫХ РЕЗЮМЕ УГРОЗА ТАКТИКА ИНСТРУМЕНТЫ Мотивы МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ РЕЗЮМЕ Червяки на войне УСТАНОВКА ПЕРВЫЙ ЧЕРВЯК ВТОРОЙ ЧЕРВЯК НА СЛЕДУЮЩИЙ ДЕНЬ РЕЗЮМЕ Своими собственными словами Взлом Наша ссылка ;) <a href="http://www.honeynet.info/" title="полный антихак">Защита от хакеров</a> Как купить сумки с ноутбуками 15 дюймов в Москве по хорошей цене?

ПЕРВЫЙ ЧЕРВЯК

Менее чем через сутки у нас появился первый посетитель. Система 216.191.92.10 (host-010.hsf.on.ca) сканировала сеть в поисках систем на базе Windows, определила нашу и стала ее запрашивать. Она начала с имени системы и определения того, было ли включено совместное использование; оно было включено. Затем было выполнено зондирование определенных двоичных файлов нашей системы. Цель состояла в том, чтобы определить, был ли инсталлирован конкретный червяк; если нет, она бы его установила. В данном случае червяк не был установлен. Червяк Win32.Bymer использует мощности центрального процессора, чтобы помочь индивиду выиграть соревнование distributed.net. Под этим названием существует группа, которая использует бездействующие процессоры распределенных компьютеров для различных задач, таких как взлом шифра RC5-64. Если пользователи решают задачу, они награждаются призами. Чем больше компьютеров контролирует один человек, тем больше шансов на победу. В нашем случае кто-то вовлек нас в проект, установив червяка в нашей системе.

Некий человек - назовем его bymer@inec.kiev.ua - создал самовоспроизводящегося червяка, который находит уязвимые операционные системы Windows и устанавливает в ничего не подозревающие системы клиента distributed.net. После установки и запуска червяк использует компьютер, чтобы помочь автору победить в соревновании. Тем временем червь начинает зондировать другие системы в поисках уязвимых мест, которые он мог бы захватить. Цель состоит в том, чтобы контролировать как можно больше компьютеров. Мотив автора очень прост: победить в соревновании distributed.net. Червяк разработан для того, чтобы позволить пользователю контролировать как можно большее количество систем на базе Windows. Именно поэтому к червяку прилагается электронный адрес, так что можно будет определить автора, если эта система сумеет взломать шифр в задаче distributed.net.

Теперь рассмотрим нападение с помощью записи пакетов сетевого трафика, перехваченных IDS Snort. Для более глубокого анализа протокола NetBIOS, возможно, придется обратиться к анализатору протокола, например к бесплатной утилите Ethereal (http://eee.ethereal.com). В приведенных ниже записях анализатора система 172.16.1.105 - это IP-адрес системы honeypot.

Сначала червяк проверяет, есть ли в системе файл dnetc.ini. Это стандартный файл конфигурации для клиента distributed.net. Он указывает главному серверу, кто должен управлять всеми захваченными ПК: скорее всего, это человек, создавший червяка. Здесь мы видим запись пакета, в котором удаленная система (имя NetBIOS GHUNT, учетная запись GHUNT, домен HSFOPROV) копирует файл конфигурации в нашу honeypot:

11/01-15:29:18.580895 216.191.92.10:2900 -> 172.16.1.105:139
TCP TTL:112 T0S:0x0 ID:50235 IpLen:20 DgmLen:135 DF
***AP,*, Seq: 0xl2930C6 Ack: 0x66B7068 Win: 0x2185 TcpLen: 20
00 00 00 5В FF 53 4D 42 2D 00 00 00 00 00 01 00 . ..[.SMB-
00 00 00 00 00 00 00 00 00 00 00 00 00 С8 57 1С W.
00 00 82 Dl OF FF 00 00 00 07 00 91 00 16 00 20
00 DC 1С 00 ЗА 10 00 00 00 00 00 00 00 00 00 00 :
00 00 00 1А 00 5С 57 49 4Е 44 4F 57 53 5С 53 59 \WINDOWS\SY
53 54 45 4D 5С 64 6Е 65 74 63 2Е 69 6Е 69 00 STEM\dnetc.ini.
Ниже приводится передача файла конфигурации dnetc.ini; точкой соприкосновения является bymer@inec.kiev.ua - человек, который получает контроль над циклами ЦП и который, скорее всего, создал напавшего на нас червяка. Довольно умно, на правда ли?
11/01-15:29:18.729337 216.191.92.10:2900 -> 172.16.1.105:139
TCP TTL: 112 T0S:0x0 ID:50747 IpLen:20 Dgml_en:317 DF
***AP*** seq: 0x1293125 Ack: 0x66B70AD Win: 0x2140 TcpLen: 20
00 00 01 11 FF 53 4D 42 0B 00 00 00 00 00 01 00 SMB
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1С W.
00 00 02 D2 05 00 00 E1 00 00 00 00 00 E1 00 E4
00 01 E1 00 5B 6D 69 73 63 5D 20 0D 0A 70 72 6F . . . . [misc] ..pro
6A 65 63 74 2D 70 72 69 6F 72 69 74 79 3D 4F 47 ject-priority=OG
52 2C 52 43 35 2C 43 53 43 2C 44 45 53 0D 0A 0D R, RC5, CSC, DES. . .
0A 5B 70 61 72 61 6D 65 74 65 72 73 5D 0D 0A 69 .[parameters]..!
64 3D 62 79 6D 65 72 40 69 6E 65 63 2E 6B 69 65 d=bymer®inec. kie
76 2E 75 61 0D 0A 0D 0A 5B 72 63 35 5D 0D 0A 66 v.ua [rc5]..f
65 74 63 68 2D 77 6F 72 6B 75 6E 69 74 2D 74 68 etch-workunit-th
72 65 73 68 6F 6C 64 3D 36 34 0D 0A 72 61 6E 64 reshold=64. . rand
6F 6D 70 72 65 66 69 78 3D 32 31 37 0D 0A 0D 0A omprefix=217
5B 6F 67 72 5D 0D 0A 66 65 74 63 68 2D 77 6F 72 [ogr]. . fetch-wor
6B 75 6E 69 74 2D 74 68 72 65 73 68 6F 6C 64 3D kunit-threshold=
31 36 0D 0A 0D 0A 5B 74 72 69 67 67 65 72 73 5D 16.... [triggers]
0D 0A 72 65 73 74 61 72 74 2D 6F 6E 2D 63 6F 6E . . restart-on-con
66 69 67 2D 66 69 6C 65 20 63 68 61 6E 67 65 3D fig-flie-change=
79 65 73 0D 0A yes. .

Затем необходимо передать программу dnetc.exe, клиента сервера, установленного на distributed.net. Она запускается в захваченной системе и начинает работать. Мы убедились в этом, взяв сигнатуру клиента MD5, обнаруженную на honeypot. Затем загрузили клиента из distributed.net и взяли MD5 hash клиента dnetc.exe. Они оказались идентичными (d0fd1f93913af70178bff1a1953f5f7d), значит, этот код не червяк, а бинарный файл, который использует мощности процессора для решения части задания distributed.net (задача заключается во взломе шифра полным перебором). Однако червяк намеревается использовать этот бинарный файл без вашего разрешения или ведома, ради достижения цели.

11/01-15:34:09.044822 216.191.92.10:2900 -> 172.16.1.105:139
TCP TTL:112 TOS:OxO ID:33084 IpLen:20 DgmLen:135 DF
,**AP*** Seq: 0xl29341A Ack: 0x66B71C0 Win: 0x202D TcpLen: 20
00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00 ...[.SMB-
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1С W.
00 00 04 26 OF FF 00 00 00 07 00 91 00 16 00 20 . . . &
00 FE 1D 00 ЗА 10 00 00 00 00 00 00 00 00 00 00 . . . . :
00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59 \WINDOWS\SY
53 54 45 40 5C 64 6E 65 74 63 2E 65 78 65 00 STEM\dnetc.exe.

Затем мы видим передачу червяка в файле msil26.exe. Это самовоспроизводящийся червяк, который случайным образом зондирует уязвимые системы и копирует себя в них. Кроме того, он наверняка является причиной огромного количества зафиксированных нами попыток сканирования.

11/01-15:37:23.083643 216.191.92.10:2900 -> 172.16.1.105:139
TCP TTL:112 T0S:0x0 ID:40765 IpLen:20 DgmLen:136 DF
***AP*** seq: 0xl2C146A Ack: 0x66C248B Win: 0x20B2 TcpLen: 20
00 00 00 5C FF 53 4D 42 2D 00 00 00 00 00 01 00 . . .\.SMB-.. . .
00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1С W.
00 00 02 F3 OF FF 00 00 00 07 00 91 00 16 00 20
00 CO 1E 00 ЗА 10 00 00 00 00 00 00 00 00 00 00 .... :
00 00 00 1B 00 5C 57 49 4E 44 4F 57 53 5C 53 59 \WINDOWS\SY
53 54 45 4D 5C 6D 73 69 32 31 35 2E 65 78 65 00 STEM\msi216.exe.

Наконец, червяк изменяет, а затем загружает новый файл win.ini, так что система будет запускать червяка при перезагрузке. Помните, при удаленном запуске файла в системе Windows 98 могут возникнуть проблемы, поэтому червяк пользуется таким методом запуска. Он выполняет это, добавив себя к файлу конфигурации запуска c:\windows\win.ini, после чего в процессе запуска будет загружен. Затем во взломанную систему загружается новый файл win.ini:

11/01-15:36:55.352810 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 T0S:0x0 ID:1342 IpLen:20 DgmLen=1500 DF ***A**** seq: 0x12C6F55 Ack: 0x66C95FC Win: OxiFBF TcpLen: 20
00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00 .h.SMB
00 00 00 00 00 00 00 00 00 00 00 00 00 C8- 57 1С W.
00 00 02 F9 0C 0D 00 61 19 00 00 00 00 00 00 00 a
00 00 00 00 00 00 00 00 00 2C 0B 3C 00 2D 0B 00 ,.<.-..
5B 77 69 6E 64 6F 77 73 5D 0D 0A 6C 6F 61 64 3D [windows]..load= 63 ЗА 5C 77 69 6E 64 6F 77 73 SC 73 79 73 74 65 c:\windows\syste 6D 5C 6D 73 69 32 31 36 2E 65 78 65 0D 0A 72 75 m\msi216.exe.. ru
6Е 3D 0D ОА 4Е 75 6С 6С 50 6F 72 74 3D 4Е 6F 6Е n=. . NullPort=Non
65 0D ОА 00 ОА 5В 44 65 73 6В 74 6F 70 5D 0D ОА е.... [Desktop]. .
57 61 6С 6С 70 61 70 65 72 3D 28 4Е 6F 6Е 65 29 Wallpaper=(None)
0D 0А 54 69 6С 65 57 61 6С 6С 70 61 70 65 72 3D . .TileWallpaper=
31 0D 0А 57 61 6С 6С 70 61 70 65 72 53 74 79 6С 1.. WallpaperStyl
65 3D 30 0D ОА 0D ОА 5В 69 6Е 74 6С 5D 0D ОА 69 е=0. . . . [ntl]. . i

Вот и все. Червяк теперь полностью установлен, a honeypot заражена. Сейчас требуется перезагрузить систему, и червяк примется за работу. При этом произойдет несколько событий:

• начнет работу клиент distributed.net, используя компьютер для сорев нования;
• червяк приступит к поиску других уязвимых систем, чтобы скопиро вать в них себя. Именно это является причиной всех случаев сканиро вания UDP 137 и TCP 1394;
• червяк может добавить в системный реестр следующие ключи: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CuгrentVersion\Run\Bymer. scanner HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Bymer.scanner Можно подумать, что необходимость ждать перезагрузки системы для запуска делает метод ненадежным. Но имейте в виду: червь нацелен на системы с Windows 98. Как часто вы перезагружаете Windows 98? Кроме того, если можно получить доступ к системе, чтобы загрузить червяка, насколько сложно будет нападающему заставить ее перезагрузиться?