Linux教程網 >> Linux綜合 >> Linux資訊 >> 更多Linux >> 了解你的敵人:蠕蟲戰

了解你的敵人:蠕蟲戰

日期：2017/2/27 14:17:25 编辑：更多Linux

　　Know Your Enemy: Worms at War The Not so Friendly World of Cyberspace Honeynet Project http://project.honeynet.org http://www.xfocus.org Last Modified: 9 November, 2000 這文章純粹是在好奇的情況下產生的，我們的Honeynet的UDP端口137和TCP端口139被多次掃描，我們的網絡中這種端口一天內居然被掃描5-10次，懷疑有一定原因。為了了解這些掃描的動機，我們設置了WIN98的honeypot，因為基於這些端口的系統一般上WIN系統，並做在那裡等攻擊者的操作，我們沒有等很長時間，就有了這篇Know you Enemy系列的後續。 Windows上的honeypot 在一個月的時間內（2000/9/20-2000/10/20）我們確認在我們的網絡"honeypot"遭受過524個基於NetBIOS掃描。這些掃描是基於UDP137端口（NetBIOS命名服務）的探測，有時伴隨著基於TCP139端口（NetBIOS會話服務）。所有這些表明存在大量的針對特殊服務的掃描活動，某些事情正在發生，我們決定發現出了什麼事。我們的網絡並沒有在Internet做什麼廣告或者宣傳，僅僅是放在那裡。所有跡象表明這些我們接受到的掃描僅僅是隨機掃描。但同樣會威脅到你的系統的安全，由於這些掃描主要針對Windows系統，有可能主要瞄准通過DSL或Cable連接的普通家庭用戶。我們不討論間諜或主頁被黑，我們在這裡僅討論一般家庭用戶作為被攻擊的對象。我們對這一切感到好奇：誰正在作這樣的掃描？他們的意圖是什麼？為什麼存在大量的這種掃描？協同探測的結果？是蠕蟲嗎？帶著很多問題，我們決定去發現結果並放置了我們的Windows"honeypot"，我們缺省安裝了一台Windows98並且使c:盤共享，盡管一台Windows98 "honeypot"聽起來並沒有多大的誘惑力，但是仍然可以通過建立這樣的系統來獲得我們所想知道的。在Internet上有大量的Windows98系統，而且這個數量還在快速增長。作為具有代表性的系統，該系統存在大量的安全漏洞。但是作為家庭用戶並沒有認識到連接到Internet的風險性，他們中的大多數還是專注地連接Internet。這是我們的第一個基於Microsoft的"honeypot"，該計劃也非常簡單並且希望學到一些東西。在2000/10/31日，系統安裝好，共享打開，並且連接到Internet，我們開始等待，等待時間是如此漫長。第一條蠕蟲至少24小時後我們接待了我們的第一位訪客。IP為216.191.92.10的系統(host-010.hsf.on.ca)掃描了我們的網絡搜尋Windows系統，他發現了我們的"honeypot"並且開始查詢它。一開始他嘗試獲得系統名並確定共享是否打開。一旦他發現共享打開，開始在我們的系統上探測某種二進制文件。他的目標是確定在我們的"honeypot"上是否安裝了某種蠕蟲，如果沒有，就會安裝它。在這裡，這種蠕蟲並沒有被安裝，這個蠕蟲被確定為"Win32.Bymer Worm"。此蠕蟲的目的在於利用占領的主機的CPU資源來幫助某人贏得distributed.net競賽，distributed.net是一個提供利用分布式計算機空閒資源進行各種挑戰（如 crack RC5-64）獎項的組織。如果贏得挑戰將獲得一些獎金，在這裡，我們的訪客通過安裝蠕蟲把我們當成"志願軍"來參加這個項目。某個人（[email protected]），制作了這個可復制的蠕蟲，它可以在不被懷疑的有漏洞的Windows系統上安裝distributed.net客戶端。一旦被安裝且被執行，蠕蟲就可以利用你的系統CPU資源幫助安裝的人贏得獎金。期間蠕蟲也會探測別的可能被入侵的系統，它的目標是獲取更多的CPU資源，處理速度會隨著入侵系統的增多而呈指數增長。讓我們來看一下通過網絡捕獲的數據包（在這裡我們使用snort）。為了更方便的分析NetBIOS協議，你需要一些協議分析器如Ethereal。這個過程通過sniffer追蹤如下，IP為172.16.1.105的是我們"honeypot"的地址。在一開始的時候，蠕蟲在我們的系統上檢查dnetc.ini，這是distributed.net客戶端的標准配置文件，該配置文件告訴主服務器誰的CPU資源引該被信任。在這裡我們通過跟蹤遠程系統（NetBIOS名稱GHUNT，帳號GHUNT,域名HSFOPROV）的記錄發現他拷貝這個文件到我們"honeypot"中。 11/01-15:29:18.580895 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:50235 DF *****PA* Seq: 0x12930C6 Ack: 0x66B7068 Win: 0x2185 00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00 ...[.SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 82 D1 0F FF 00 00 00 07 00 91 00 16 00 20 ............... 00 DC 1C 00 3A 10 00 00 00 00 00 00 00 00 00 00 ....:...........

00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 64 6E 65 74 63 2E 69 6E 69 00 STEM\dnetc.ini. 通過下面信息我們可以看到配置文件dentc.in的確切傳輸配置，注意[email protected]，他就是接受CPU資源的人，很可能也是該蠕蟲的作者。 11/01-15:29:18.729337 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:50747 DF *****PA* Seq: 0x1293125 Ack: 0x66B70AD Win: 0x2140 00 00 01 11 FF 53 4D 42 0B 00 00 00 00 00 01 00 .....SMB........ 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 02 D2 05 00 00 E1 00 00 00 00 00 E1 00 E4 ................ 00 01 E1 00 5B 6D 69 73 63 5D 20 0D 0A 70 72 6F ....[misc] ..pro 6A 65 63 74 2D 70 72 69 6F 72 69 74 79 3D 4F 47 ject-priority=OG 52 2C 52 43 35 2C 43 53 43 2C 44 45 53 0D 0A 0D R,RC5,CSC,DES... 0A 5B 70 61 72 61 6D 65 74 65 72 73 5D 0D 0A 69 .[parameters]..i 64 3D 62 79 6D 65 72 40 69 6E 65 63 2E 6B 69 65 [email protected] 76 2E 75 61 0D 0A 0D 0A 5B 72 63 35 5D 0D 0A 66 v.ua....[rc5]..f 65 74 63 68 2D 77 6F 72 6B 75 6E 69 74 2D 74 68 etch-workunit-th 72 65 73 68 6F 6C 64 3D 36 34 0D 0A 72 61 6E 64 reshold=64..rand 6F 6D 70 72 65 66 69 78 3D 32 31 37 0D 0A 0D 0A omprefix=217.... 5B 6F 67 72 5D 0D 0A 66 65 74 63 68 2D 77 6F 72 [ogr]..fetch-wor 6B 75 6E 69 74 2D 74 68 72 65 73 68 6F 6C 64 3D kunit-threshold= 31 36 0D 0A 0D 0A 5B 74 72 69 67 67 65 72 73 5D 16....[triggers] 0D 0A 72 65 73 74 61 72 74 2D 6F 6E 2D 63 6F 6E ..restart-on-con 66 69 67 2D 66 69 6C 65 2D 63 68 61 6E 67 65 3D fig-file-change= 79 65 73 0D 0A yes.. 下一個要傳的軟件是distributed.net客戶端-dnetc.exe。一個可執行文件，原始版本是沒有病毒。我們為了確認這個文件是否被改動過，於是我們取了在"honeypot"中的改文件的MD5簽名，之後我們從distributed.net上下載了該客戶端並同樣用MD5進行簽名，結果表明一樣(d0fd1f93913af70178bff1a1953f5f7d)，表明該客戶端並沒有做過改動，僅僅是為了獲取你的CPU資源進行競賽，但是所有這一切都沒有經過我們的同意。 11/01-15:34:09.044822 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:33084 DF *****PA* Seq: 0x129341A Ack: 0x66B71C0 Win: 0x202D 00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00 ...[.SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 04 26 0F FF 00 00 00 07 00 91 00 16 00 20 ...&........... 00 FE 1D 00 3A 10 00 00 00 00 00 00 00 00 00 00 ....:........... 00 00 00 1A 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 64 6E 65 74 63 2E 65 78 65 00 STEM\dnetc.exe. 接下來傳過來真正的病毒程序msi216.exe，這是一個可以進行自我復制的病毒隨機探測尋找有漏洞的系統並考本自身，這很可能就是導致我們接受大量掃描的根源。 11/01-15:37:23.083643 216.191.92.10:2900 -> 172.16.1.105:139

TCP TTL:112 TOS:0x0 ID:40765 DF *****PA* Seq: 0x12C146A Ack: 0x66C248B Win: 0x20B2 00 00 00 5C FF 53 4D 42 2D 00 00 00 00 00 01 00 ...\.SMB-....... 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W. 00 00 02 F3 0F FF 00 00 00 07 00 91 00 16 00 20 ............... 00 C0 1E 00 3A 10 00 00 00 00 00 00 00 00 00 00 ....:........... 00 00 00 1B 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 6D 73 69 32 31 36 2E 65 78 65 00 STEM\msi216.exe. 最後，蠕蟲上傳了新的win.ini文件，這麼做的原因是可以在系統重新啟動的時候被執行，因為很難在遠程Win98系統上直接執行程序，所以蠕蟲修改c:\windows\win.ini文件以使自己被自動加載。這個新的win.ini被上傳到我們的系統。 11/01-15:38:55.352810 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:1342 DF ******A* Seq: 0x12C6F55 Ack: 0x66C95FC Win: 0x1FBF 00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00 ...h.SMB........ 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W.

00 00 02 F3 0F FF 00 00 00 07 00 91 00 16 00 20 ............... 00 C0 1E 00 3A 10 00 00 00 00 00 00 00 00 00 00 ....:........... 00 00 00 1B 00 5C 57 49 4E 44 4F 57 53 5C 53 59 .....\WINDOWS\SY 53 54 45 4D 5C 6D 73 69 32 31 36 2E 65 78 65 00 STEM\msi216.exe. 最後，蠕蟲上傳了新的win.ini文件，這麼做的原因是可以在系統重新啟動的時候被執行，因為很難在遠程Win98系統上直接執行程序，所以蠕蟲修改c:\windows\win.ini文件以使自己被自動加載。這個新的win.ini被上傳到我們的系統。 11/01-15:38:55.352810 216.191.92.10:2900 -> 172.16.1.105:139 TCP TTL:112 TOS:0x0 ID:1342 DF ******A* Seq: 0x12C6F55 Ack: 0x66C95FC Win: 0x1FBF 00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00 ...h.SMB........ 00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C ..............W.