הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות

Storm Worm - 2תרגול

הערה:

שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה

בלבד.

Storm

2007החלה לפעול בינוארבעצם סוס טרויאני ולא תולעתהיקפה לא ידוע במדויק

250,000 – 50,000,000 מחשבים בספטמבר 2007

8%-מה malwareיוחס לה בשיאה עפ"י הסברה המקובלת, הגוף שעומד מאחוריה

RBNהוא -עושה שימוש בbotnet 2הגנה במערכות מתוכנתות - תרגול 2(c אורי אברהם )2009

botnet

רשת מחשבים "זומביים" המחכים לפקודותמהמפעיל

כח מחשוב רב כלי אידיאלי לביצוע התקפותDDoS או משלוח

spam

2הגנה במערכות מתוכנתות - תרגול 3(c אורי אברהם )2009

שלבי פעולת הקוד הזדוני

הדבקה ראשונית1.

וקבלת פקודותP2Pהתחברות לרשת 2.

ביצוע התקפות3.

התחמקות מגילוי4.


הדבקה ראשונית

הקרבן מקבל דוא"ל הנושא כותרת מעניינתומכיל קישור לאתר


הדבקה ראשונית – הנדסה חברתית

האתר אליו מופנה הקורבן מכיל את התולעת ומדביקאת הקורבן

מתמרן את הקרבן להוריד ולהתקין את התולעתמנצל חורי אבטחה בדפדפן ובמערכת ההפעלה


הדבקה ראשונית )המשך...(

הקרבן שמתפתה להכנס לאתר, להורידולהתקין תכנה מודבק בקוד הזדוני

בנוסף הוא מקבל גם קובץ המכיל רשימתP2P( לרשת peers"חברים" )

שאלה: מדוע לא ניתן להתחקות אחר הלינקבדוא"ל המדביק ולהשבית את האתר הזדוני?


תשובה: רשתות fast-flux

עפ"י שםIPמציאת

-מחשבים ברשת מזוהים על פי כתובת הIP סיביות32שלהם, מספר בן

שרתיDNS מתרגמים שמות לכתובות IP


Local DNS

Where’s www.wikipedia.org ?

root nameserver198.41.0.4

org nameserver207.74.112.1

Wikipedia.org nameserver207.142.131.234

1

2 3

4

56

7

8

9

Try 207.74.112.1

Try 207.142.131.234

It’s at xxx.xx.xx.xxx

Wikipedia webserverxxx.xx.xx.xxx

http://www.wikipedia.org/

fast-fluxרשתות

ברשתותfast-flux כאשר המשתמש גולש ,לאתר לפי שם האתר, הוא יגיע בכל פעם

שונהIPלכתובת "קוד התולעת נמצא על שרת, "ספינת האם כאשר הקרבן מקליק על הקישור הוא מופנה

שמקשר בינו לבין "ספינת האם"proxyלמחשב בידי התוקפים מספר רב של מחשביproxy

שביניהם מתבצע סבב2הגנה במערכות מתוכנתות - תרגול 9(c אורי אברהם )2009

)המשך...(fast-fluxרשתות

-מפעילי הbotnet מחזיקים domainמשלהם בכל כמה דקות הם מבצעים רישום של מחשב

proxyאחר שישוייך עם האתר הזדוני 2הגנה במערכות מתוכנתות - תרגול 10(c אורי אברהם )2009

)הדבקה P2Pהתחברות לרשת משנית(

קובץ ההרצה הראשוני מנסה להתחבר לחברים(peers ברשת )P2P

)windir/system32/wincom32.ini(-המחשב הנגוע מקבל דרך רשת הP2P כתובות URL

מהן הוא מוריד עדכונים וכלים לביצוע התקפות


P2P בשירות Storm

בד"כ שליטה ברשתותbotnet נעשית ע"י , ...(http, IRCפרוטוקול שרת-לקוח )

צריך להחזיק מידע על botnetכל מחשב ב-1.השרת, דבר המקל על זיהוי השרת

אם מנתקים את השרת או פוגעים בו, השליט 2..botnetמאבד שליטה על ה-

מסיבות אלו בחרו יוצריStorm להשתמש P2Pברשת



תהליך קבלת הפקודה של מחשב נגוע נראהכך:

מחרוזות 32המחשב הנגוע מגריל מחרוזות מבין 1.חיפוש אפשריות לאותו יום ומבקש למצוא אותן

(subscribeברשת )

( עבור publish מפיצים הודעות )botnetשליטי ה-2. מחרוזות אפשריות. כל הודעה כוללת: 32אותן

מוצפנתURLמפתח חיפוש )מחרוזת( וכתובת

ומוריד URLהמחשב הנגוע מפענח את כתובת ה-3.(game0.exe – game5.exeממנה קבצי פקודה ) 2הגנה במערכות מתוכנתות - תרגול 13(c אורי אברהם )2009



Search for: “e4x$po”

publish: )“e4x$po”,192.68.14.15(

“(e4x$po”,192.68.14.15)

192.68.14.15

קבלת פקודות

ה"פקודות" בגרסתPeacom.c:game0.exe – backdoorמוריד קבצים / game1.exe – SMTP Relaygame2.exeכלי לגניבת כתובות דוא"ל – game3.exeכלי להפצת התולעת בדוא"ל – game4.exe כלי לביצוע התקפות – DDoSgame5.exe-גרסה מעודכנת של ה – Storm Worm

Dropper


ביצוע התקפות

-בידי מפעילי הStorm botnet כח מחשוב רב בו הם יכולים לעשות שימוש כרצונם

ההתקפות הנפוצות ביותר הןDDoS )Distributed Denial of Service( ומשלוח

spam


DDoSביצוע התקפת בהתקפתDDoS פונים הרבה מחשבים בו-זמנית

לשרת המותקף ע"מ להציף אותו בהודעות ולגרום לקריסתו

-בStorm, game4.exe משמש לביצוע התקפת DDoS יעד וסוג ההתקפה מתקבלים בקובץ קונפיגורציה

game4.exeשנמצא באתר שכתובתו מקודדת בגוף :הקורבנות – שונים ומגוונים

( ספקי שירותים תמימיםcapitalcollect.com) חברותanti-malwareקבוצות ספאם מתחרות... 2הגנה במערכות מתוכנתות - תרגול 17(c אורי אברהם )2009

הסתתרות מגילוי – התחמקות מאנטי-וירוסים

לאורך הזמן, מנהלים כותבי האנטי-וירוסיםוכותבי הוירוסים משחקי חתול-עכבר:

"אנטי-וירוסים מזהים וירוסים עפ"י "חתימה אישיתוירוסים מצפינים את עצמם אנטי-וירוסים מזהים את ה"חתימה האישית" של

(packersהחבילות הקריפטוגרפיות )Storm-מצפין גם את ה – packer שבו הוא

משתמש


התחמקות מאנטי-וירוסים )המשך...(

"כלי נוסף של אנטי-וירוסים: "ארגז חול(sandbox)

סביבה מוגנת שבה האנטי-וירוס יכול להריץ אתהקובץ החשוד בלי לאפשר לו לפגוע במערכת

התהליך רץ באזור מבודד בזיכרוןהגישה למשאבים מוגבלת ביותר

ארגז החול" מאפשר ללמוד על הקוד הזדוני"מתוך אופן פעולתו


התחמקות מאנטי-וירוסים – Storm vs. Sandbox

Storm משתמש בערך )קבוע( המוחזר מקריאת packerמערכת ע"מ לחשב את מפתח הפענוח של ה-

קריאות המערכת בהןStorm עושה שימוש הן קריאות (Legacyמערכת ישנות שאינן בשימוש בפועל )

רוב תוכנות האנטי-וירוס אינן מסמלצות את קריאותהמערכת הללו ולכן נגרמת חריגה כאשר הן מנסות

ב"ארגז החול"Stormלהריץ את


התחמקות מאנטי-וירוסים – Storm vs. Sandbox

(Antirootkit.comמתוך (


הסתתרות מגילוי

-עוד שיטות שStorm:משתמש בהן הורג תהליכים שמפריעים לו )אפילוmalware

אחרים( משתק תהליכים – נראים כאילו הם רצים כרגיל

כאשר בעצם אינם עושים דבר תוקף חברותanti-malwareוחוקרים -מצפין את התקשורת ברשת הP2P


סיכום

Storm-הציג לעולם ה malware טכניקות חדשות ומשוכללות

המוטיבציה מאחוריStorm!כסף – משלוחspamהתקפות על מתחרים עסקייםחלוקת הרשת לסגמנטים והשכרתם תמורת כסף

בעקבות עדכונים בכלי להסרת תכניות זדוניות שלמיקרוסופט הצטמצם היקפה בצורה ניכרת

47,000 2008 מחשבים עפ"י דיווחים באוקטובר


(2סיכום )

השתתקות פתאומית2008בספטמבר – הפסיקה לנסות להדביק משתמשים חדשים-התקשורת ברשת הP2Pהשתתקה ?חוקרים חדרו לרשת והשתלטו עליה יוצרי הקוד הזדוני החליטו להקפיא אותו ולהכניס

שינויים בעקבות המידע שנצבר אצל קהילת אבטחת המידע?


הגנה במערכות מתוכנתות

Documents