تبادل
لینک هوشمند
با کرم بلستر بيشتر آشنا شويم ! کرم جديدی که W32.Blaster نا ميده می شود طی روزهای اخير بشدت گسترش و توانسته است تعدادی بسيار زيا دی از کامپيوترها را آ لوده نمايد . کرم فوق، دارای اسامی ديگری نظير : W32/Lovsan.worm ، WORM_MSBLAT.A و Win32.Posa.Worms می باشد. تاريخ کشف : يازدهم اگوست 2003 . کامپيوترهائی که قبلا" از Patch امنيتی MS03-026 استفاده نموده اند در مقابل ويروس فوق، مصونيت خواهند داشت . HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion علائم آلودگی سيستم : برخی از کاربران ممکن است هيچگونه علائمی مبنی بر آلودگی سيستم خود را مشاهده ننمايند . در رابطه با کاربرانی که از سيستم ويندوز XP و يا Server 2003 استفاده می نمايند ، سيستم پس از لحظاتی و بدون اينکه کاربر عمليات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ويندوز NT 4.0 و يا ويندوز 2000 ، استفاده می نمايند ، سيستم رفتاری غيرپاسخگو را خواهد داشت ( عدم واکنش صحيح در رابطه با برخی از رويداد ها و ارائه خدمات طبيعی ) . کاربران در اين رابطه ممکن است موارد زير را نيز مشاهده نمايند : وجود فايل های غيرمتعارف TFTP وجود فايل msblast.exe در دايرکتوری Windows System32 سيستم های آسيب پذير : کاربرانی که دارای يکی از سيستم های زير می باشند ، در معرض آلودگی خواهند بود : ويندوز NT 4.0 ويندوز 2000 ويندوز XP ويندوز 2003 سيستم های مصون : در صورتيکه وجود شرايط زير ، کامپيوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود : در صورتيکه از ويندوز 95 ، 98 ، SE و يا ME استفاده می گردد . در صورتيکه patch امنيتی اشاره شده در MS03-026 بر روی سيستم نصب شده باشد . Patch های موجود : برای دريافت patch مربوطه می توان از آدرس های زير استفاده کرد : سوالات متداول در رابطه با کرم بلستر : علت وجود ضعف موجود چيست ؟ اشکال فوق، مربوط به يک Buffer overrun است ( بافری که بررسی های لازم در ارتباط با آن انجام نشده است ) . مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کنترل کامل سيستم را از طريق يک کامپيوتر از راه دور در اختيار و عمليات دلخواه خود را بدون هيچگونه محدوديتی انجام دهد.علت بروز چنين مسئله ای به سرويس RPC ويندوز برمی گردد که بصورت مناسب وضعيت پيام های ورودی را تحت شرايط خاص ، بررسی نمی نمايد . DCOM چيست ؟ پروتکلی است که امکا ن ارتباط مستقيم بين عناصر نرم افزاری موجود در يک شبکه با يکديگر را فراهم می نمايد.پروتکل فوق، قبلا" OLE Network ناميده می شد. RPC چيست ؟ پروتکلی است که يک برنامه می تواند با استفاده از آن درخواست سرويسی را از برنامه موجود بر روی کامپيوتر ديگر در شبکه داشته باشد . RPC ، تسهيلات و امکانات لازم در خصوص ارتباط بين برنامه ها را فراهم می نمايد . برنامه هائی که از RPC استفاده می نمايند ضرورتی به آگاهی از پروتکل های شبکه که ارتباطات را حمايت می نمايند ، نخواهند داشت . در RPC ، برنامه درخواست کننده سرويس گيرنده بوده و برنامه ارائه دهنده سرويس ، سرويس دهنده می باشد . سرويس های اينترنت COM و RPC بر روی HTTP چه چيزی می باشند ؟ سرويس های اينترنت COM معرفی شده، پروتکل حمل DCOM را در ارتباط با TCP ارائه و اين امکان را فراهم می نمايد که DCOM ، عمليات خود را از طريق پورت 80 پروتکل TCP انجام دهد . سرويس های اينترنت COM و RPC بر روی HTTP ، اين امکان را برای يک سرويس گيرنده و سرويس دهنده فراهم می نمايند که قادر به برقراری ارتباط با يکديگر در صورت حضور و يا فعال بودن اکثر سرويس دهندگان پروکسی و يا فايروال باشند . با استفاده از چه روشی می توان از نصب سرويس های اينترنت COM بر روی سيستم ، اطمينان حاصل کرد؟ بهترين روش در اين رابطه جستجو برای يافتن فايل rpcproxy.dll است . در صورتيکه فايل فوق پيدا گردد ، نشاندهنده نصب سرويس های اينترنت COM بر روی ماشين است . اشتباه مايکروسافت در رابطه با پياده سازی RPC چيست ؟ در بخشی از RPC شکافی وجود داشته که در ارتباط با پيام های مبادله شده از طريق TCP/IP است . علت بروز مشکل ،عدم برخورد مناسب با پيام های ناقص است . مشکل فوق، باعث تاثيرات خاصی در ارتباط با اينترفيس DCOM شده و زمينه گوش دادن به پورت 135 مربوط به TCP/IP ، فراهم می گردد . امکان دستيابی از طريق پورت های 139 ، 445 و 593 نيز وجود خواهد داشت . با ارسال يک پيام ناقص RPC ، يک مهاجم می تواند باعث بروز اشکال در سرويس دهی توسط سرويس RPC بر روی يک ماشين گردد . يک مهاجم با استفاده از ضعف موجود قادر به انجام چه عملياتی خواهد بود ؟ مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کدهائی را با مجوزهای سيستم محلی بر روی يک سيستم اجراء نمايد . مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم نظير : نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد با مجوزها و اختيارات کامل، خواهد بود. يک مهاجم به چه صورت از ضعف فوق ، استفاده می نمايد ؟ يک مهاجم ، بمنظور جستجو و استفاده از اين نقص امنيتی می تواند با برنامه ريزی يک ماشين که قادر به ارتباط با يک سرويس دهنده آسيب پذير از طريق RPC باشد ، ارتباطی را برقرار و در ادامه يک نوع پيام خاص RPC ناقص را ارسال نمايد . دريافت چنين پيامی باعث بروز اشکال در ماشين آسيب پذير شده و بدين ترتيب ماشين فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم خواهد بود . چه کسانی در معرض اين آسيب هستند ؟ هر کاربری که قادر به عرضه يک درخواست TCP بر روی يک اينترفيس RPC بر روی يک کامپيوترآسيب پذير باشد ، می تواند در معرض آسيب فوق باشد . با توجه به اينکه درخواست های RPC بصورت پيش فرض بر روی تمامی نسخه های ويندوز فعال ( on) می باشند ، هر کاربری که قادر به برقراری ارتباط با يک کامپيوترآسيب پذير باشد ، می تواند در معرض اين آسيب قرار گيرد .
منبع:srco.ir
نحوه توزيع : توزيع کرم فوق، از طريق پورت های باز RPC انجام می شود . سيستم ها پس از آلودگی به ويروس فوق، راه اندازی مجدد شده و يا فايل msblase.exe بر روی آنان وجود خواهد داشت .
جرئيات فنی : RPC)Remote Procedure Call) ، پروتکلی است که توسط سيستم عامل ويندوز استفاده می گردد . RPC ، يک مکانيزم ارتباطی را ارائه و اين امکان را فراهم می نمايد که برنامه در حال اجراء بر روی يک کامپيوتر قادر به اجراء کد موجود بر روی يک سيستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مايکروسافت امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق يک نقطه آسيب پذير وجود داشته که در ارتباط با پيام های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پيام های ناقص است . اين ضعف امنيتی باعث تاثيرگذاری يک اينترفيس DCOM)Distributed Component Object Model) با RPC می گردد( گوش دادن به پورت های فعا ل RPC ). ايترفيس فوق ، باعث بررسی درخواست های فعال شی DCOM ارسال شده توسط ماشين سرويس گيرنده برای سرويس دهنده می گردد . يک مهاجم که امکان استفاده موفقيت آميز از ضعف موجود را کسب نمايد، قادر به اجراء کد با مجوزهای محلی سيستم بر روی يک سيستم آسيب پذير ، خواهد بود. در چنين حالتی مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم خواهد بود . نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در اين رابطه می باشد .بمنظور استفاده از ضعف موجود، يک مهاجم درخواستی خاص بر روی کامپيوتر از راه دور و از طريق پورت های مشخص شده RPC را ارسال می نمايد .
عملکرد ويروس :کرم بلستر ، بصورت تصادفی يک دامنه از آدرس های IP را پويش ( بررسی ) تا سيستم مورد نظر خود را برای آسيب رسانی از طريق پورت 135 ، انتخاب نمايد . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده می نمايد . ( اشاره شده در patch شماره MS03-026 ) . زمانيکه کد مربوطه برای سيستمی ارسال گرديد در ادامه اقدام به download و اجرای فايل MSBLATE.EXE از يک سيستم راه دور و از طريق HTTP می نمايد . پس از اجراء ، کليد ريجستری زير ايجاد خواهد شد :
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
نظرات شما عزیزان:
آمار
وب سایت:
