عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
با کرم بلستر بيشتر آ شنا شويم ! |
مديريت شبکه |
18806 |
43 |
3.7 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
با کرم بلاستر بيشتر آشنا شويم
با کرم بلستر بيشتر آشنا شويم !
کرم جديدی که W32.Blaster نا ميده می شود
طی روزهای اخير بشدت گسترش و توانسته است تعدادی بسيار زيا دی از کامپيوترها را آ
لوده نمايد . کرم فوق، دارای اسامی ديگری نظير : W32/Lovsan.worm
، WORM_MSBLAT.A و
Win32.Posa.Worms می باشد.
تاريخ کشف : يازدهم اگوست 2003 .
کامپيوترهائی که قبلا" از Patch
امنيتی
MS03-026
استفاده نموده اند در مقابل ويروس فوق، مصونيت خواهند داشت .
نحوه توزيع : توزيع کرم فوق، از طريق پورت های
باز RPC انجام می شود . سيستم ها پس
از آلودگی به ويروس فوق، راه اندازی مجدد شده و يا فايل msblase.exe
بر روی آنان وجود خواهد داشت .
جرئيات فنی : RPC)Remote
Procedure Call) ، پروتکلی است که توسط سيستم عامل ويندوز استفاده
می گردد . RPC ، يک مکانيزم ارتباطی را ارائه و اين
امکان را فراهم می نمايد که برنامه در حال اجراء بر روی يک کامپيوتر قادر به اجراء
کد موجود بر روی يک سيستم از راه دور گردد . پروتکل RPC از
پروتکل OSF)Open Software Foundation) مشتق شده و
مايکروسافت
امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق يک نقطه آسيب
پذير وجود داشته که در ارتباط با پيام های مبادله شده بر روی TCP/IP
است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پيام های ناقص است . اين
ضعف امنيتی باعث تاثيرگذاری يک اينترفيس DCOM)Distributed
Component Object Model) با
RPC می گردد( گوش دادن به پورت های فعا ل RPC
). ايترفيس فوق ، باعث بررسی درخواست های فعال شی DCOM
ارسال شده توسط ماشين سرويس گيرنده برای سرويس دهنده می گردد . يک مهاجم که امکان
استفاده موفقيت آميز از ضعف موجود را کسب نمايد، قادر به اجراء کد با مجوزهای محلی
سيستم بر روی يک سيستم آسيب پذير ، خواهد بود. در چنين حالتی مهاجم ، قادر به انجام
هر نوع عملياتی بر روی سيستم خواهد بود . نصب برنامه ها ، مشاهده تغييرات ، حذف
فايل ها و ايجاد account های جديد بهمراه تمامی مجوزهای
مربوطه ، نمونه هائی در اين رابطه می باشد .بمنظور استفاده از ضعف موجود، يک مهاجم
درخواستی خاص بر روی کامپيوتر از راه دور و از طريق پورت های مشخص شده RPC
را ارسال می نمايد .
عملکرد ويروس :کرم بلستر ، بصورت تصادفی يک دامنه از آدرس های
IP را پويش ( بررسی ) تا سيستم مورد نظر خود
را برای آسيب رسانی از طريق پورت 135 ، انتخاب نمايد . کرم فوق ، از ضعف موجود در
رابطه با DCOM RPC استفاده می نمايد . ( اشاره شده در
patch شماره
MS03-026 ) . زمانيکه کد مربوطه برای سيستمی ارسال گرديد در
ادامه اقدام به download و اجرای فايل MSBLATE.EXE
از يک سيستم راه دور و از طريق HTTP
می نمايد . پس از اجراء ، کليد ريجستری زير ايجاد خواهد شد :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!!
bill |
علائم آلودگی سيستم : برخی از کاربران ممکن
است هيچگونه علائمی مبنی بر آلودگی سيستم خود را مشاهده ننمايند . در رابطه
با کاربرانی که از سيستم ويندوز XP و
يا Server 2003 استفاده می نمايند ، سيستم پس از لحظاتی و
بدون اينکه کاربر عمليات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با
کاربرانی که از ويندوز NT 4.0 و يا
ويندوز 2000 ، استفاده می نمايند ، سيستم رفتاری غيرپاسخگو را خواهد داشت (
عدم واکنش صحيح در رابطه با برخی از رويداد ها و ارائه خدمات طبيعی ) . کاربران در
اين رابطه ممکن است موارد زير را نيز مشاهده نمايند :
سيستم های آسيب پذير : کاربرانی که دارای يکی
از سيستم های زير می باشند ، در معرض آلودگی خواهند بود :
-
ويندوز
NT 4.0
-
ويندوز 2000
-
ويندوز
XP
-
ويندوز 2003
سيستم های مصون : در صورتيکه وجود شرايط
زير ، کامپيوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :
Patch
های موجود : برای دريافت patch
مربوطه می توان از آدرس های زير استفاده کرد :
سوالات
متداول در رابطه با کرم بلستر :
علت وجود ضعف موجود
چيست ؟ اشکال فوق، مربوط به يک Buffer
overrun است ( بافری که بررسی های لازم در ارتباط با آن
انجام نشده است ) . مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می
تواند کنترل کامل سيستم را از طريق يک کامپيوتر از راه دور در اختيار و عمليات
دلخواه خود را بدون هيچگونه محدوديتی انجام دهد.علت بروز چنين مسئله ای به سرويس
RPC ويندوز برمی گردد که بصورت مناسب
وضعيت پيام های ورودی را تحت شرايط خاص ، بررسی نمی نمايد .
DCOM چيست ؟
پروتکلی است که امکا ن ارتباط مستقيم بين عناصر نرم افزاری موجود
در يک شبکه با يکديگر را فراهم می نمايد.پروتکل فوق، قبلا" OLE Network
ناميده می شد.
RPC
چيست ؟ پروتکلی است که يک برنامه می تواند با استفاده از آن درخواست سرويسی را از
برنامه موجود بر روی کامپيوتر ديگر در شبکه داشته باشد . RPC
، تسهيلات و امکانات لازم در خصوص ارتباط بين برنامه ها را فراهم می نمايد . برنامه
هائی که از RPC استفاده می نمايند ضرورتی به آگاهی از
پروتکل های شبکه که ارتباطات را حمايت می نمايند ، نخواهند داشت . در RPC
، برنامه درخواست کننده سرويس گيرنده بوده و برنامه ارائه دهنده سرويس ، سرويس
دهنده می باشد .
سرويس های
اينترنت COM و RPC
بر روی HTTP چه چيزی می باشند ؟ سرويس های اينترنت
COM معرفی شده، پروتکل حمل DCOM را
در ارتباط با TCP ارائه و اين امکان را فراهم می
نمايد که DCOM ، عمليات خود را از طريق پورت 80 پروتکل
TCP انجام دهد . سرويس های اينترنت
COM و RPC بر
روی HTTP ، اين امکان را برای يک
سرويس گيرنده و سرويس دهنده فراهم می نمايند که قادر به برقراری ارتباط با يکديگر
در صورت حضور و يا فعال بودن اکثر سرويس دهندگان پروکسی و يا فايروال باشند .
با استفاده از
چه روشی می توان از نصب سرويس های اينترنت COM
بر روی سيستم ، اطمينان حاصل کرد؟ بهترين روش در اين رابطه جستجو برای يافتن
فايل rpcproxy.dll است . در صورتيکه فايل فوق پيدا گردد ،
نشاندهنده نصب سرويس های اينترنت COM
بر روی ماشين است .
اشتباه
مايکروسافت در رابطه با پياده سازی RPC
چيست ؟ در بخشی از RPC شکافی وجود داشته که در ارتباط با
پيام های مبادله شده از طريق TCP/IP است . علت بروز مشکل
،عدم برخورد مناسب با پيام های ناقص است . مشکل فوق، باعث تاثيرات خاصی در ارتباط
با اينترفيس DCOM شده و زمينه گوش دادن به پورت 135
مربوط به TCP/IP ، فراهم می گردد . امکان دستيابی از طريق
پورت های 139 ، 445 و 593 نيز وجود خواهد داشت . با ارسال يک پيام ناقص RPC
، يک مهاجم می تواند باعث بروز اشکال در سرويس دهی توسط سرويس RPC
بر روی يک ماشين گردد .
يک مهاجم با استفاده
از ضعف موجود قادر به انجام چه عملياتی خواهد بود ؟ مهاجمی که قادر به استفاده
موفقيت آميز از ضعف موجود باشد ، می تواند کدهائی را با مجوزهای سيستم محلی بر روی
يک سيستم اجراء نمايد . مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم نظير :
نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد
account های جديد با مجوزها
و اختيارات کامل، خواهد بود.
يک مهاجم به چه صورت
از ضعف فوق ، استفاده می نمايد ؟ يک مهاجم ، بمنظور جستجو و استفاده از اين نقص
امنيتی می تواند با برنامه ريزی يک ماشين که قادر به ارتباط با يک سرويس دهنده آسيب
پذير از طريق RPC باشد ،
ارتباطی را برقرار و در ادامه يک نوع پيام خاص RPC
ناقص را ارسال نمايد . دريافت چنين پيامی باعث بروز اشکال در ماشين آسيب پذير شده و
بدين ترتيب ماشين فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم خواهد بود
.
چه کسانی در معرض اين
آسيب هستند ؟ هر کاربری که قادر به عرضه يک درخواست
TCP بر روی يک اينترفيس RPC بر روی يک
کامپيوترآسيب پذير باشد ، می تواند در معرض آسيب فوق باشد . با توجه به اينکه
درخواست های RPC بصورت پيش فرض بر روی تمامی نسخه های
ويندوز فعال ( on) می باشند ، هر
کاربری که قادر به برقراری ارتباط با يک کامپيوترآسيب پذير باشد ، می تواند
در معرض اين آسيب قرار گيرد .