آ شنائی با ويژگی های کرم بلستر New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 دوشنبه  4  ارديبهشت  1396  2017  Apr.  24   Monday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها    
  نسخه قابل چاپ  

    5 4 3 2 1 

 عنوان

 نويسنده

  مشاهده

 تعداد آراء

 امتياز

 با کرم بلستر بيشتر آ شنا شويم !

 مديريت شبکه

17485

43

3.7

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

با کرم بلاستر بيشتر آشنا شويم

با کرم بلستر بيشتر آشنا شويم !

کرم جديدی که W32.Blaster نا ميده می شود طی روزهای اخير بشدت گسترش و توانسته است تعدادی بسيار زيا دی از کامپيوترها را آ لوده نمايد . کرم فوق،  دارای  اسامی ديگری نظير : W32/Lovsan.worm  ، WORM_MSBLAT.A  و Win32.Posa.Worms می باشد.

تاريخ کشف :  يازدهم اگوست 2003  . کامپيوترهائی که قبلا" از Patch امنيتی MS03-026 استفاده نموده اند در مقابل ويروس فوق، مصونيت خواهند داشت .
نحوه توزيع : توزيع کرم فوق، از طريق پورت های باز
RPC انجام می شود . سيستم ها پس از آلودگی  به ويروس فوق، راه اندازی مجدد شده و يا فايل msblase.exe بر روی  آنان وجود خواهد داشت .
جرئيات فنی :
 RPC)Remote Procedure Call) ، پروتکلی است که توسط سيستم عامل ويندوز استفاده می گردد . RPC  ، يک مکانيزم ارتباطی را ارائه و اين امکان را فراهم می نمايد که برنامه در حال اجراء بر روی يک کامپيوتر قادر به اجراء کد موجود بر روی يک سيستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مايکروسافت امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق يک نقطه آسيب پذير وجود داشته که در ارتباط با پيام های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پيام های ناقص است . اين ضعف امنيتی باعث تاثيرگذاری  يک اينترفيس DCOM)Distributed Component Object Model)  با RPC می گردد( گوش دادن به پورت های فعا ل  RPC ). ايترفيس فوق ، باعث  بررسی  درخواست های فعال شی DCOM ارسال شده توسط ماشين سرويس گيرنده برای سرويس دهنده می گردد . يک مهاجم که امکان استفاده موفقيت آميز از ضعف موجود را کسب نمايد، قادر به اجراء کد با مجوزهای محلی سيستم بر روی يک سيستم آسيب پذير ، خواهد بود. در چنين حالتی مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم خواهد بود . نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در اين رابطه می باشد .بمنظور استفاده از ضعف موجود، يک مهاجم درخواستی خاص بر روی کامپيوتر از راه دور و از طريق پورت های مشخص شده RPC را ارسال می نمايد .
عملکرد ويروس :کرم بلستر ، بصورت تصادفی يک دامنه از آدرس های
IP را پويش ( بررسی ) تا سيستم مورد نظر خود را برای آسيب رسانی از طريق پورت 135 ، انتخاب نمايد . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC  استفاده می نمايد . ( اشاره شده در patch شماره MS03-026 ) . زمانيکه کد مربوطه برای سيستمی ارسال گرديد در ادامه اقدام به download و اجرای فايل MSBLATE.EXE از يک سيستم راه دور و از طريق HTTP می نمايد . پس از اجراء ، کليد ريجستری زير ايجاد خواهد شد :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

علائم آلودگی سيستم : برخی از کاربران ممکن است هيچگونه علائمی  مبنی بر آلودگی سيستم خود را مشاهده ننمايند . در رابطه با کاربرانی که از سيستم ويندوز XP و يا Server 2003 استفاده می نمايند ، سيستم پس از لحظاتی و بدون اينکه کاربر عمليات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ويندوز NT 4.0 و يا ويندوز 2000 ، استفاده می نمايند ،  سيستم رفتاری غيرپاسخگو را خواهد داشت ( عدم واکنش صحيح در رابطه با برخی از رويداد ها و ارائه خدمات طبيعی ) . کاربران در اين رابطه ممکن است موارد زير را نيز مشاهده نمايند : 

  • وجود  فايل های غيرمتعارف TFTP

  • وجود فايل msblast.exe در دايرکتوری Windows System32

سيستم های آسيب پذير : کاربرانی که دارای يکی از سيستم های زير می باشند ، در معرض آلودگی خواهند بود :

  • ويندوز NT 4.0

  • ويندوز 2000

  • ويندوز XP

  • ويندوز 2003

سيستم های مصون : در صورتيکه  وجود شرايط زير ، کامپيوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :

  •  در صورتيکه از ويندوز 95 ، 98 ، SE و يا ME استفاده می گردد .

  • در صورتيکه patch امنيتی اشاره شده در MS03-026  بر روی سيستم نصب شده باشد .

Patch های موجود  : برای دريافت patch مربوطه می توان  از آدرس های زير استفاده کرد :

 سوالات متداول در رابطه با کرم بلستر :

علت وجود ضعف موجود چيست ؟  اشکال فوق،  مربوط به يک Buffer overrun است ( بافری که بررسی های لازم در ارتباط با  آن انجام نشده است ) . مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کنترل کامل سيستم را از طريق يک کامپيوتر از راه دور در اختيار و عمليات دلخواه خود را بدون هيچگونه محدوديتی انجام دهد.علت بروز چنين مسئله ای به سرويس RPC ويندوز برمی گردد که بصورت مناسب وضعيت پيام های ورودی را تحت شرايط خاص ، بررسی نمی نمايد .

DCOM چيست ؟  پروتکلی است که  امکا ن  ارتباط  مستقيم بين عناصر نرم افزاری موجود در يک شبکه با يکديگر را فراهم می نمايد.پروتکل فوق، قبلا" OLE Network ناميده می شد.

 RPC چيست ؟ پروتکلی است که يک برنامه می تواند با استفاده از آن درخواست سرويسی را از برنامه موجود بر روی کامپيوتر ديگر در شبکه داشته باشد . RPC ، تسهيلات و امکانات لازم در خصوص ارتباط بين برنامه ها را فراهم می نمايد . برنامه هائی که از RPC استفاده می نمايند ضرورتی به آگاهی از پروتکل های شبکه که ارتباطات را حمايت می نمايند ، نخواهند داشت . در RPC ، برنامه درخواست کننده سرويس گيرنده بوده و برنامه ارائه دهنده سرويس ، سرويس دهنده  می باشد .

 سرويس های اينترنت COM و RPC بر روی HTTP چه چيزی می باشند ؟ سرويس های اينترنت COM معرفی شده،  پروتکل حمل DCOM را در ارتباط با  TCP ارائه و اين امکان را فراهم می نمايد که DCOM ، عمليات خود را از طريق پورت 80 پروتکل TCP انجام دهد . سرويس های اينترنت COM و RPC بر روی HTTP ، اين امکان را برای يک سرويس گيرنده و سرويس دهنده فراهم می نمايند که قادر به برقراری ارتباط با يکديگر در صورت حضور و يا فعال بودن اکثر سرويس دهندگان پروکسی و يا فايروال باشند .

 با استفاده از چه روشی می توان از نصب سرويس های اينترنت COM بر روی سيستم  ، اطمينان حاصل کرد؟ بهترين روش در اين رابطه جستجو برای يافتن فايل rpcproxy.dll است . در صورتيکه فايل فوق پيدا گردد ، نشاندهنده نصب سرويس های اينترنت COM بر روی ماشين است .

 اشتباه مايکروسافت در رابطه با پياده سازی RPC چيست ؟ در بخشی از RPC شکافی وجود داشته که در ارتباط با پيام های مبادله شده از طريق TCP/IP است . علت بروز مشکل ،عدم برخورد مناسب با پيام های ناقص است . مشکل فوق، باعث تاثيرات خاصی در ارتباط با اينترفيس DCOM شده و زمينه  گوش دادن به پورت 135 مربوط به TCP/IP ، فراهم می گردد . امکان دستيابی از طريق پورت های 139 ، 445 و 593 نيز وجود خواهد داشت . با ارسال يک پيام ناقص RPC ، يک مهاجم می تواند باعث بروز اشکال در سرويس دهی توسط سرويس RPC بر روی يک ماشين گردد .

يک مهاجم با استفاده از ضعف موجود قادر به انجام چه عملياتی خواهد بود ؟ مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کدهائی را با مجوزهای سيستم محلی بر روی يک سيستم اجراء نمايد . مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم نظير : نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد با مجوزها و اختيارات کامل، خواهد بود.

يک مهاجم به چه صورت از ضعف فوق ، استفاده می نمايد ؟ يک مهاجم ، بمنظور جستجو و استفاده از اين نقص امنيتی می تواند با برنامه ريزی يک ماشين که قادر به ارتباط با يک سرويس دهنده آسيب پذير از طريق RPC باشد ،  ارتباطی را برقرار و در ادامه  يک نوع پيام خاص  RPC ناقص را ارسال نمايد . دريافت چنين پيامی باعث بروز اشکال در ماشين آسيب پذير شده و بدين ترتيب ماشين فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم  خواهد بود .

چه کسانی در معرض اين آسيب هستند ؟ هر کاربری که قادر به عرضه يک درخواست TCP بر روی يک اينترفيس RPC بر روی يک کامپيوترآسيب پذير باشد ، می تواند در معرض آسيب فوق باشد . با توجه به اينکه درخواست های RPC بصورت پيش فرض بر روی تمامی نسخه های ويندوز فعال ( on) می باشند ، هر کاربری که قادر به برقراری  ارتباط با يک کامپيوترآسيب پذير باشد ، می تواند در معرض اين آسيب قرار گيرد .



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382