| 不友好电脑世界中的敌人--蠕虫在“游动” |
|
|
|
作者:佚名 文章来源:不详 点击数: 更新时间:2006-12-5 16:21:39  |
监视网络扫描计划 www.cners.com by catsun
写这篇文章是出于我们的好奇心。我们的网络常常被进UDP port 137 和 TCP port 139的扫描,这两个端口每天被扫描5-10次,基于这种情况,我们决定调查这些扫描的意图,什么原因导致这些网络上的扫描活动?我们假设这些扫描是为了检测Windows漏洞,我们计划安装一台Windows98机器,将它放在网络上,回来等待,喝杯JAVA咖啡?我们无须等待多时。
检测过程
在一个月的时间里(20 Sep - 20 Oct/2k)我们证实了有524次有效并独立的NetBIOS扫描,这些扫瞄由UDP port 137 (NetBIOS Naming Service)探测 TCP port139 (NetBIOS Session Service)探测组成。大部分扫瞄是为了探测一些特殊服务,从中看出扫描一定有些什么目的。我们在网络上安装的一台默认安装并共享C盘的win98,象那常见的计算机一样,这意味着我们收到的扫描大部分是随的,我们的情况就像那些使用专线(DSL,Cable)或长时间上网的计算机一样。也许用Win98做测试机,并不很有说力,但有以下的好处:
On October 31系统被安装,共享被激活,并连入Internet。我们在等待...
“第一条蠕虫”
不到24小时我们迎来了第一位访问者,来自于216.191.92.10(host-010.hsf.on.ca)扫描网络上的Windows系统,他找到我们并开始探测,首先他得取了系统名,和查看硬盘是否被共享,当共享被确定后,访问者开始探测系统协议的二进位信息,来确定系统是否被安装了“蠕虫”程序,当然我们的系统还没有被“蠕虫”侵占。
现在有很多“蠕虫”程序,像"quot;Win32.Bymer Worm "quot;这些程序用来控制你机器的CPU处理器周期,这些黑客想要通过控制更多的CPU处理器周期来赢得distributed.net的比赛。一些黑客发明的蠕虫程序可以查出其他有漏洞的Windows器,并在其他机器上安装distributed.net的客户端,一旦这些程序被安装并执行,这些程序将控制受害者计算机的CPU期,并帮助黑客赢得比赛。下面让我们看看攻击者通过探测得到的信息包,172.16.1.105是我们的Win98机器的IP地址蠕虫程序首先检测系统上有没有dnetc.ini,dnetc.ini是distributed.net客户端配置文件,这个配置文件告诉应该得到这些CPU周期进程的黑客服务器,我们用信息包的数据来查看远程攻击者(NetBIOS name GHUNT, account GHUNT, domain HSFOPROV)怎样将dnetc.ini拷贝到我们的机器上。
TCP TTL:112 TOS:0x0 ID:50235 DF
*****PA* Seq: 0x12930C6 Ack: 0x66B7068 Win: 0x2185
下面我们看看将实际的文件转换,dnetc.ini,注意谁在连接,bymer@inec.kiev.ua,这是接受CPU周期信用的攻击者。
TCP TTL:112 TOS:0x0 ID:50747 DF
*****PA* Seq: 0x1293125 Ack: 0x66B70AD Win: 0x2140
下面是distributed.net的客户端dnetc.exe,它是个可执行程序。
TCP TTL:112 TOS:0x0 ID:33084 DF
*****PA* Seq: 0x129341A Ack: 0x66B71C0 Win: 0x202D
下面我们看蠕虫程序被转换,msi216.exe,这是个可以查找漏洞的和自我复制的蠕虫,它就是导致大量扫描产生的原因。
TCP TTL:112 TOS:0x0 ID:40765 DF
*****PA* Seq: 0x12C146A Ack: 0x66C248B Win: 0x20B2
最后,这个蠕虫程序更改然后升级一个win.ini文件,蠕虫程序使系统在重新启动后执行蠕虫程序,远程在98上执行程序是困难的,所以蠕虫程序将自己加入Windows自动启动件。
等待被重启动。
TCP TTL:112 TOS:0x0 ID:1342 DF
******A* Seq: 0x12C6F55 Ack: 0x66C95FC Win: 0x1FBF
到现在,蠕虫程序已经感染了我们的Win98机器,当我们重起机器时,以下事情发生了。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Bymer
.scanner
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServic
es\Bymer.scanner
www.cners.com提供
上集,蠕虫程序已经感染了我们的Win98机器,当我们重起机器时,以下事情发生了。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Bymer.scanner
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Bymer.scanner
可能您会想,去等待一个机器的重启不是个好方法,Keep in mind,我们(大多数人)都在使用Windows桌面系统,您每天重启几次您的电脑?
第二条虫
第二条虫子是在第二天来到的,它是第一个蠕虫的变种,也是要获得一个CPU周期,来赢得distributed.net的比赛,不同的是,这个蠕虫的所有文件都包含在一个可执行wininit.exe程序里,在安装Windows98时已经有个二进制的wininit.exe安装在c:\windows\wininit.exe,虽然蠕虫和它一样的名字,但蠕虫安装在c:\windows\system\wininit.exe,让人看上去象是系统的一个文件,这个蠕虫的工作方式和第一个虫子是一样的。下面我们看看我们的98是如何感染这个wininit.exe蠕虫的。远程系统的NetBIOS名字是WINDOW,account WINDOW, domain LVCW。
TCP TTL:113 TOS:0x0 ID:38619 DF
*****PA* Seq: 0x21CC0AC Ack: 0xCE6736B Win: 0x2185
一旦虫子安装后,远程系统修改Win.ini文件,加入启动程序组。
TCP TTL:113 TOS:0x0 ID:21212 DF
******A* Seq: 0x22021C9 Ack: 0xCE68EC7 Win: 0x1FA3
这样,第二条虫“感染”了我们的系统,其实很可怕,数以千万的计算机连接在Internet上,他们都处于危险之中,一旦他们被蠕虫占领,他们就成了虫的“巢穴”,自动的扫描其他有漏洞的电脑,并感染他们...如果有人进行犯罪活动的话,危害及其巨大。
又过一天...
第三天,另外一条变种蠕虫扫描我们可怜的Win98机器,首先它扫描共享,然后查看是否有蠕虫已经被安装,当然,我们的机器满足这两种情况,所以这条蠕虫离开了我们。
后来的一些日子又有些事情发生了,开始于系统207.224.254.206 (dialupF206.sttl.uswest.net, NetBIOS
name SOCCERDOG, account SCOTT, domain RONS)检查dnetc.ini是否被安装在我们的系统上,当他发现我们已经被安装后,也离开我们,以后的三天里,共有5种方法来检测这个蠕虫。不长时间后,我们的系统开始建立了一个HTTP连接bymer.boom.ru,这个连接用来升级蠕虫。
TCP TTL:127 TOS:0x0 ID:65300 DF
**S***** Seq: 0x17AF8D9A Ack: 0x0 Win: 0x2000
TCP Options ="gt; MSS: 1460 NOP NOP SackOK
然后,dnetc.exe客户端连接distributed.net开始传输数据,并上传CPU周期被利用的结果。
TCP TTL:127 TOS:0x0 ID:1301 DF
*****PA* Seq: 0x17AF8F47 Ack: 0xBE445ED3 Win: 0x2238
AE 23 E2 77 F6 42 91 51 3E 61 3F EE 86 7F EE 8B .#.w.B.Q"gt;a?.....
CE 9E 9D 28 16 BD 4B C5 5E DB FA 62 A6 FA A8 FF ...(..K.^..b....
EF 19 57 9C 37 38 06 39 7F 56 B4 D6 C7 75 63 73 ..W.78.9.V...ucs
B1 F9 B6 54 FA 18 64 F1 42 37 13 8E 8A 55 C2 2B ...T..d.B7...U.
CF 32 45 19 1A 93 1F 65 62 B1 CE 02 AA D0 7C 9E .2E....eb.....|.
C5 46 78 29 F0 13 97 04 .Fx)....
当上传完整后,蠕虫进入自动状态,开始扫描其他机器,自我复制,它随意的选择IP地址,并扫描137和139端口。
UDP TTL:127 TOS:0x0 ID:30485
Len: 58
结论:
我们已经描述了在几天的时间里,我们的WIN98被几种不同的蠕虫“感染”的过程,这些蠕虫自动的鉴别和发现漏洞系统,按指数规律自我复制,NetBIOS漏洞是主要被扫描的对象,但并不是每个NetBIOS扫描都是蠕虫扫描,也不是每个蠕虫都是为了赢得distributed.net,有些蠕虫为了搜索机密的文件,商业秘密等,它们可以把这些重要的文件传到电子邮件地址,IRC频道,或恶意的站点。
作者的话:
有时网络世界很美好,聊天,购物,查询...但也不能忽视危险的存在,如何保护网络的安全尤其重要,在我国发展自己的操作系统不失为一个好的方法。
视窗安全网站CNers.COM版权所有,转载请注明出处,谢谢!
|
| 文章录入:wuyongjian 责任编辑:wuyongjian |
|
上一篇文章: 基于NetBIOS的简单Windows进攻法补充
下一篇文章: Telnet密码破解软件 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
