На следующий день разновидности такого же червяка зондировали нашу honeypot. Сначала они определяли, было ли включено совместное использование; так как оно включено, выполнялась проверка, установлена ли та же самая версия червяка. В этот день в обоих случаях червяк был уже установлен, поэтому удаленные системы оставили нас в покое. Первая удаленная система проверила наличие червяка wininit.exe. В этот же день другая система проверила, был ли установлен червяк msi216.exe.
На следующий день, 4 ноября, система с IP-адресом 207.224.254.206 проверила, был ли установлен в нашей Honeynet файл dnetc.ini. Определив, что двоичный файл установлен, система оставила нашу honeypot в покое. В результате уже пять систем менее чем за три дня зондировали honeypot для установки червяка. Что еще более необычно, в этот день наша honeypot попыталась установить http-соединение с системой bymer.boom.ru. Оно наверняка было инициировано червяком, чтобы обновить информацию на сервере «хозяина». Система bymer.boom.ru, скорее всего, одно время была контролирующей для этого червяка. Однако теперь она разрешает IP-адрес 192.168.0.1, то есть это попытка владельца домена остановить червяка.
Помимо запуска червяка нужно, чтобы система перезагрузилась. Это единственный момент, который мы не выяснили: если система перезагрузилась, то как это произошло? Одним из недостатков honeypot с системой на базе Windows является ограниченная доступность информации из-за отсутствия логов. В следующем коде honeypot инициирует соединение с bymer.boom.ru - сервером-«хозяином» червяка.
11/04-00:56:38.855453 172.16.1.105:1027 -> 192.168.0.1:80 TCP TTL:127 TOS:OxO ID:65300 IpLen:20 DgmLen: 48 DF ¦****»S* Seq: 0xl7AF8D9A Ack: 0x0 Win: 0x2000 TcpLen: 28 TCP Options => MSS: 1460 NOP NOP SackOK
Немедленно вслед за этим клиент dnetc.exe соединяется с сервером distri-buted.net и начинает передачу данных. Это работа клиента distributed.net, а не часть процесса воспроизведения червяка. Однако в этом заключается конечная цель существования червяка - посчитать часть заданной задачи на центральном процессоре и загрузить полученные результаты на distributed.net.
11/04-00:56:40.286898 172.16.1.105:1029 -> 204.152.186.139:2064
TCP TTL:127 T0S:0x0 ID:1301 IpLen:20 DgmLen:208 DF
***AP.** Seq: 0xl7AF8F47 Ack: 0xBE445ED3 Win: 0x2238 TcpLen: 20
AE 23 E2 77 F6 42 91 51 3E 61 3F ЕЕ 86 7F ЕЕ 8В ,#.w.B.Q>a?
СЕ 9E 9D 28 16 BD 4B C5 5E 0B FA 62 A6 FA A8 FF ...(.. K.".. b. ...
EF 19 57 9C 37 38 06 39 7F 56 B4 D6 C7 75 63 73 . .W.78.9. V. . . ucs
OF 94 12 10 57 B2 CO AD 9F D1 6F 4A E7 F0 1D E7 . ...W oJ. . . .
30 OE CC 84 78 2D 7B 21 CO 4C 29 BE 08 6A D8 5B 0. .. x-{! . L). . j. [
50 89 86 F8 98 A8 35 95 E0 C6 E4 32 28 E5 92 CF P 5,...2(...
71 04 41 6C B9 22 F0 09 01 41 9E A6 49 60 4D 43 q. Al."... A.. ГМС
91 7E FB EO D9 9D AA 7D 21 ВС 59 1A 69 DB 07 B7 }! .Y.i...
B1 F9 86 54 FA 18 64 F1 42 37 13 8E 8A 55 C2 2B . . .T. . d. B7. .. U.+
CF 32 45 19 1A 93 1F 65 62 Bl CE 02 AA DO 7C 9E .2E....eb |.
C5 46 78 29 F0 13 97 04 . Fx).. . .
После завершения загрузки червяк переходит на следующую ступень и начинает искать в Internet другие уязвимые системы, в которые можно скопировать себя, а потом размножить. Он случайным образом выбирает IP-адреса и начинает сканирование этих систем через порты 137 и 139, определяет уязвимые системы, аналогичные нашей honeypot, а затем воспроизводит себя в удаленной системе. Частичное объяснение замеченного нами большого объема сканирования заключается в существовании подобных взломанных систем. Однако имейте в виду, что окружение Honeynet спроектировано таким образом, чтобы блокировать любой злонамеренный трафик, исходящий из взломанной honeypot, так что это сканирование не доходит до Internet. Honeynet разрешает «плохим парням» входить, но не разрешает выходить. Следующий код показывает попытку червяка найти другие уязвимые системы:
Нам показалось интересным, что файл конфигурации с: \windows\win. ini вновь был изменен, скорее всего, это сделал червяк wininit.exe. Он удалил запись червяка msi216.exe из файла конфигурации запуска, «взяв власть в свои руки». Кроме того, файл dnetc.ini снова изменился - адрес электронной почты bymer@inec.kiev.ua стал другим, bymer@ukrpost.net. То есть второй червяк попытался взять верх над первым, удалив его из файлов конфигурации. Это говорит о невероятно агрессивном характере червяков, так как один червяк сражается с другим за право обладания некой собственностью, в данном случае процессорным временем. На рис. 10.1 показано, какие системы и когда участвовали в этом нападении. Имейте в виду, что все эти действия произошли в течение четырех дней. Если ваши системы на базе Windows соединены с Internet, то они, скорее всего, подвергались подобной опасности.
Вы можете самостоятельно просмотреть все данные, заключенные в файле win98.tar.gz, на сайте http://www.dmkpress.ru. В этом файле содержатся записи Snort в бинарном формате, которые она сделала в течение четырех дней, а также все бинарные файлы червяков, включая wininit.exe и msi216.exe. Имейте в виду, что это «дикие» червяки, так что вы работаете с опасным материалом. При работе с ним соблюдайте максимальную осторожность. Те, кто не хочет связываться с бинарными файлами червяков, могут работать с win98-wo.tar.gz, в котором содержится вся информация win98.tar.gz, кроме бинарных файлов двух червяков, winint.exe и msi216.exe.
