有沒有人知道疾風是怎麼攻擊系統的?
版主: 霹靂
-
Cipher
- 高級玩家
- 文章: 369
- 註冊時間: 週一 5月 27, 2002 5:14 am
轉自 Symantec 的網站:
如果執行 W32.Blaster.Worm,它會進行以下動作:
建立一個名為 BILLY 的 Mutex。如果這個 mutex 已經存在,病蟲會自動結束。
新增下列值:
"windows auto update"="msblast.exe"
加入登錄鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,當您啟動 Windows 時,病蟲就會執行。
產生一個 IP 位址,並試圖感染具有該位址的電腦。其 IP 位址是根據下列演算法所產生的:
在 40% 的可能情況下,所產生的 IP 位址具有 A.B.C.0 的型式;其中,A 與 B 等於受感染電腦的 IP 位址的前兩個部份。
C 也是由受感染系統的 IP 位址的第三部份所計算出來的;但是,在 40% 的可能情況下,病蟲會檢查 C 是否大於 20。若是如此,便從 C 中減去低於 20 的隨機值。一旦 IP 位址計算出來後,此病蟲會試圖找出並探測 IP 位址為 A.B.C.0 的電腦。
接著病蟲會由 1 開始遞增 IP 位址的 0 部份 (直到 254),以根據新的 IP 位址找出並探測其它電腦。
而在 60% 的可能情況中,所產生的 IP 位址完全是隨機的。
傳送資料至 TCP 埠號 135,藉以探測 DCOM RPC 弱點。病蟲會傳送下列兩種類型資料的其中一種:探測 Windows XP 或 Windows 2000。在 80% 的可能情況下,它會傳送 Windows XP 的資料;而在 20% 的可能情況下,它會傳送 Windows 2000 的資料。
注意:
本機子網路會塞滿埠號 135 的流量請求。
由於此病蟲隨機組合探測資料的特性緣故,它很可能在傳送不正確資料時造成電腦當機。
雖然 W32.Blaster.Worm 無法散佈至 Windows NT 或 Windows 2003 Server,但是未安裝修補程式且執行這些作業系統的電腦,可能會因病蟲的探測而當機。然而,如果病蟲是利用手動放置在這些作業系統的電腦上執行,那麼該病蟲就會執行及散佈了。
如果 RPC 服務當機,則 Windows XP 及 Windows Server 2003 下的預設程序為重新開機。若要停用此功能,請參閱下列「移除指示」的步驟 1。
使用 Cmd.exe 可建立隱藏的遠端 shell 程序,該 Shell 會監聽 TCP 埠號 4444 的流量,讓攻擊者可以在遠端傳送指令至受感染的系統。
監聽 UDP 埠號 69。當病蟲收到來自使用 DCOM RPC 探測程式進行連線的電腦的要求時,它會傳送 msblaster.exe 至該電腦,並告知執行該病蟲。
如果當日為 1 月至 8 月中的 16 號至月底,或者當月為 9 月至 12 月,則病蟲會試圖對 Windows Update 進行 DoS 攻擊。但是,只有當下列其中一個條件成立時,DoS 攻擊的企圖才會得逞:
病蟲執行的 Windows XP 電腦在酬載期間受到感染或者重新開機。
此病蟲執行的 Windows 2000 電腦在酬載期間受到感染,並且自從受感染後就未再重新開機。
此病蟲執行的 Windows 2000 電腦自從受感染後就未在酬載期間重新開機,並且目前登入的使用者為「管理員」。
DoS 流量具有下列特徵:
在 windowsupdate.com 的埠號 80 上有 SYN 流量。
試圖每秒傳送 50 個 RPC 封包及 50 個 HTTP 封包。
每個封包長度為 40 位元組。
如果病蟲在 DNS 裏找不到 windowsupdate.com,它會使用 255.255.255.255 作為目標位址。
某些 TCP 及 IP 表頭的固定特徵為:
IP 識別 = 256
存留時間 = 128
來源 IP 位址 = a.b.x.y,其中 a.b 來自於主機 ip,而 x.y 則為隨機的。在某些情況下,a.b 是隨機的。
目的 IP 位址 = 「windowsupdate.com」的 dns 解析
TCP 來源埠介於 1000 與 1999 之間
TCP 目的埠 = 80
TCP 順序編號永遠會將兩組低位元組設定為 0;而兩組高位元組則為隨機的。
TCP Window 大小 = 16384
病蟲含有如下文字,但永遠不會顯示出來:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
舒緩阻絕服務 (DoS) 酬載
由於 2003 年 8 月 15 日的事件,Microsoft 已經移除了 DNS 記錄 windowsupdate.com。儘管病蟲的阻絕服務部分將不會影響 Microsoft 的 Windows Update 功能,但是網路管理員可以使用下列建議事項來舒緩阻絕服務酬載:
將 windowsupdate.com 重新導向特殊的內部 IP 位址:如果您有伺服器正監聽以取得 SYN flood 的話,這樣做將可以提醒您機器已經受到感染。
在路由器上架構防假冒騙術的規則 (若尚未建置):這樣做可以避免封包離開網路。使用 uRPF 或對外 (egress) ACL 很有效。
http://securityresponse1.symantec.com/s ... .worm.html
轉自微軟的網站:
Remote Procedure Call (RPC) 是 Windows 作業系統所使用的通訊協定。RPC 提供程序間的通訊機制,以便允許在電腦上執行的程式能完美地在遠端系統上執行程式碼。通訊協定本身衍生於「開放軟體基金會」 (OSF,Open Software Foundation) RPC 通訊協定,但加入了某些 Microsoft 特定的擴充功能。
RPC 在 TCP/IP 上處理訊息交換的部份有一個弱點。產生該錯誤的原因為不正確地處理格式錯誤之訊息。此特殊的弱點會影響使用 RPC 的 Distributed Component Object Model (DCOM) 介面,該介面聆聽 TCP/IP 135 連接埠。此介面處理用戶端機器傳送至伺服器之 DCOM 物件啟動要求 (像是「通用命名慣例」(UNC,Universal Naming Convention) 路徑)。
若要利用此弱點,攻擊者需要傳送特殊格式之要求至遠端電腦的 135 連接埠。
緩和因素:
若要利用此弱點,攻擊者需要能夠將經過設計之特殊要求傳送至遠端電腦的 135 連接埠。針對內部網路的環境,通常可以存取此連接埠;但是針對連接至網際網路的機器,防火牆通常會阻擋 135 連接埠。在上述沒有阻擋該連接埠的情況下,或是在內部網路的組態中,攻擊者並不需要任何額外的權限。
最佳實務建議阻擋所有實際上未使用到的 TCP/IP 連接埠。由於此原因,大部份連接至網際網路的機器應該都已阻擋 135 連接埠。在有敵意的環境,像是網際網路中,並不打算使用 TCP 上的 RPC。針對有敵意的環境則提供更健全之協定,像是 HTTP 上的 RPC。
http://www.microsoft.com/taiwan/securit ... 03-026.asp
如果執行 W32.Blaster.Worm,它會進行以下動作:
建立一個名為 BILLY 的 Mutex。如果這個 mutex 已經存在,病蟲會自動結束。
新增下列值:
"windows auto update"="msblast.exe"
加入登錄鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,當您啟動 Windows 時,病蟲就會執行。
產生一個 IP 位址,並試圖感染具有該位址的電腦。其 IP 位址是根據下列演算法所產生的:
在 40% 的可能情況下,所產生的 IP 位址具有 A.B.C.0 的型式;其中,A 與 B 等於受感染電腦的 IP 位址的前兩個部份。
C 也是由受感染系統的 IP 位址的第三部份所計算出來的;但是,在 40% 的可能情況下,病蟲會檢查 C 是否大於 20。若是如此,便從 C 中減去低於 20 的隨機值。一旦 IP 位址計算出來後,此病蟲會試圖找出並探測 IP 位址為 A.B.C.0 的電腦。
接著病蟲會由 1 開始遞增 IP 位址的 0 部份 (直到 254),以根據新的 IP 位址找出並探測其它電腦。
而在 60% 的可能情況中,所產生的 IP 位址完全是隨機的。
傳送資料至 TCP 埠號 135,藉以探測 DCOM RPC 弱點。病蟲會傳送下列兩種類型資料的其中一種:探測 Windows XP 或 Windows 2000。在 80% 的可能情況下,它會傳送 Windows XP 的資料;而在 20% 的可能情況下,它會傳送 Windows 2000 的資料。
注意:
本機子網路會塞滿埠號 135 的流量請求。
由於此病蟲隨機組合探測資料的特性緣故,它很可能在傳送不正確資料時造成電腦當機。
雖然 W32.Blaster.Worm 無法散佈至 Windows NT 或 Windows 2003 Server,但是未安裝修補程式且執行這些作業系統的電腦,可能會因病蟲的探測而當機。然而,如果病蟲是利用手動放置在這些作業系統的電腦上執行,那麼該病蟲就會執行及散佈了。
如果 RPC 服務當機,則 Windows XP 及 Windows Server 2003 下的預設程序為重新開機。若要停用此功能,請參閱下列「移除指示」的步驟 1。
使用 Cmd.exe 可建立隱藏的遠端 shell 程序,該 Shell 會監聽 TCP 埠號 4444 的流量,讓攻擊者可以在遠端傳送指令至受感染的系統。
監聽 UDP 埠號 69。當病蟲收到來自使用 DCOM RPC 探測程式進行連線的電腦的要求時,它會傳送 msblaster.exe 至該電腦,並告知執行該病蟲。
如果當日為 1 月至 8 月中的 16 號至月底,或者當月為 9 月至 12 月,則病蟲會試圖對 Windows Update 進行 DoS 攻擊。但是,只有當下列其中一個條件成立時,DoS 攻擊的企圖才會得逞:
病蟲執行的 Windows XP 電腦在酬載期間受到感染或者重新開機。
此病蟲執行的 Windows 2000 電腦在酬載期間受到感染,並且自從受感染後就未再重新開機。
此病蟲執行的 Windows 2000 電腦自從受感染後就未在酬載期間重新開機,並且目前登入的使用者為「管理員」。
DoS 流量具有下列特徵:
在 windowsupdate.com 的埠號 80 上有 SYN 流量。
試圖每秒傳送 50 個 RPC 封包及 50 個 HTTP 封包。
每個封包長度為 40 位元組。
如果病蟲在 DNS 裏找不到 windowsupdate.com,它會使用 255.255.255.255 作為目標位址。
某些 TCP 及 IP 表頭的固定特徵為:
IP 識別 = 256
存留時間 = 128
來源 IP 位址 = a.b.x.y,其中 a.b 來自於主機 ip,而 x.y 則為隨機的。在某些情況下,a.b 是隨機的。
目的 IP 位址 = 「windowsupdate.com」的 dns 解析
TCP 來源埠介於 1000 與 1999 之間
TCP 目的埠 = 80
TCP 順序編號永遠會將兩組低位元組設定為 0;而兩組高位元組則為隨機的。
TCP Window 大小 = 16384
病蟲含有如下文字,但永遠不會顯示出來:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
舒緩阻絕服務 (DoS) 酬載
由於 2003 年 8 月 15 日的事件,Microsoft 已經移除了 DNS 記錄 windowsupdate.com。儘管病蟲的阻絕服務部分將不會影響 Microsoft 的 Windows Update 功能,但是網路管理員可以使用下列建議事項來舒緩阻絕服務酬載:
將 windowsupdate.com 重新導向特殊的內部 IP 位址:如果您有伺服器正監聽以取得 SYN flood 的話,這樣做將可以提醒您機器已經受到感染。
在路由器上架構防假冒騙術的規則 (若尚未建置):這樣做可以避免封包離開網路。使用 uRPF 或對外 (egress) ACL 很有效。
http://securityresponse1.symantec.com/s ... .worm.html
轉自微軟的網站:
Remote Procedure Call (RPC) 是 Windows 作業系統所使用的通訊協定。RPC 提供程序間的通訊機制,以便允許在電腦上執行的程式能完美地在遠端系統上執行程式碼。通訊協定本身衍生於「開放軟體基金會」 (OSF,Open Software Foundation) RPC 通訊協定,但加入了某些 Microsoft 特定的擴充功能。
RPC 在 TCP/IP 上處理訊息交換的部份有一個弱點。產生該錯誤的原因為不正確地處理格式錯誤之訊息。此特殊的弱點會影響使用 RPC 的 Distributed Component Object Model (DCOM) 介面,該介面聆聽 TCP/IP 135 連接埠。此介面處理用戶端機器傳送至伺服器之 DCOM 物件啟動要求 (像是「通用命名慣例」(UNC,Universal Naming Convention) 路徑)。
若要利用此弱點,攻擊者需要傳送特殊格式之要求至遠端電腦的 135 連接埠。
緩和因素:
若要利用此弱點,攻擊者需要能夠將經過設計之特殊要求傳送至遠端電腦的 135 連接埠。針對內部網路的環境,通常可以存取此連接埠;但是針對連接至網際網路的機器,防火牆通常會阻擋 135 連接埠。在上述沒有阻擋該連接埠的情況下,或是在內部網路的組態中,攻擊者並不需要任何額外的權限。
最佳實務建議阻擋所有實際上未使用到的 TCP/IP 連接埠。由於此原因,大部份連接至網際網路的機器應該都已阻擋 135 連接埠。在有敵意的環境,像是網際網路中,並不打算使用 TCP 上的 RPC。針對有敵意的環境則提供更健全之協定,像是 HTTP 上的 RPC。
http://www.microsoft.com/taiwan/securit ... 03-026.asp
誰在線上
正在瀏覽這個版面的使用者:沒有註冊會員 和 3 位訪客