View
236
Download
4
Category
Preview:
Citation preview
הגנה במערכות מתוכנתות
Storm Worm - 9תרגול
Storm
2007החלה לפעול בינוארבעצם סוס טרויאני ולא תולעתהיקפה לא ידוע במדויק
250,000 – 50,000,000 2007 מחשבים בספטמבר8%-מה malwareיוחס לה בשיאה
עפ"י הסברה המקובלת, הגוף שעומד מאחוריה הואRBN
-עושה שימוש בbotnet
9הגנה במערכות מתוכנתות - תרגול 2(c אורי אברהם )2009
botnet
רשת מחשבים "זומביים" המחכים לפקודותמהמפעיל
כח מחשוב רב כלי אידיאלי לביצוע התקפותDDoS או משלוח
spam
9הגנה במערכות מתוכנתות - תרגול 3(c אורי אברהם )2009
שלבי פעולת הקוד הזדוני
הדבקה ראשונית1.
וקבלת פקודותP2Pהתחברות לרשת 2.
ביצוע התקפות3.
התחמקות מגילוי4.
9הגנה במערכות מתוכנתות - תרגול 4(c אורי אברהם )2009
הדבקה ראשונית
הקרבן מקבל דוא"ל הנושא כותרת מעניינתומכיל קישור לאתר
9הגנה במערכות מתוכנתות - תרגול 5(c אורי אברהם )2009
הדבקה ראשונית – הנדסה חברתית
האתר אליו מופנה הקורבן מכיל את התולעת ומדביקאת הקורבן
מתמרן את הקרבן להוריד ולהתקין את התולעתמנצל חורי אבטחה בדפדפן ובמערכת ההפעלה
9הגנה במערכות מתוכנתות - תרגול 6(c אורי אברהם )2009
הדבקה ראשונית )המשך...(
הקרבן שמתפתה להכנס לאתר, להורידולהתקין תכנה מודבק בקוד הזדוני
בנוסף הוא מקבל גם קובץ המכיל רשימתP2P( לרשת peers"חברים" )
שאלה: מדוע לא ניתן להתחקות אחר הלינקבדוא"ל המדביק ולהשבית את האתר הזדוני?
9הגנה במערכות מתוכנתות - תרגול 7(c אורי אברהם )2009
תשובה: רשתות fast-flux
עפ"י שםIPתזכורת – מציאת
תזכורת: מחשבים ברשת מזוהים על פי כתובת סיביות32 שלהם, מספר בן IPה-
שרתיDNS מתרגמים שמות לכתובות IP
9הגנה במערכות מתוכנתות - תרגול 8(c אורי אברהם )2009
Local DNS
Where’s www.wikipedia.org ?
root nameserver198.41.0.4
org nameserver207.74.112.1
Wikipedia.org nameserver207.142.131.234
1
2 3
4
56
7
8
9
Try 207.74.112.1
Try 207.142.131.234
It’s at xxx.xx.xx.xxx
Wikipedia webserverxxx.xx.xx.xxx
fast-fluxרשתות
ברשתותfast-flux כאשר המשתמש גולש לאתר , IPלפי שם האתר, הוא יגיע בכל פעם לכתובת
שונה"קוד התולעת נמצא על שרת, "ספינת האם כאשר הקרבן מקליק על הקישור הוא מופנה
שמקשר בינו לבין "ספינת האם"proxyלמחשב בידי התוקפים מספר רב של מחשביproxy
שביניהם מתבצע סבב
9הגנה במערכות מתוכנתות - תרגול 9(c אורי אברהם )2009
)המשך...(fast-fluxרשתות
-מפעילי הbotnet מחזיקים domainמשלהם -שרת הDNS שלהם דואג להחזיר בכל פעם כתובת IP של
אחרproxyמחשב
9הגנה במערכות מתוכנתות - תרגול 10(c אורי אברהם )2009
)הדבקה P2Pהתחברות לרשת משנית(
קובץ ההרצה הראשוני מנסה להתחבר לחברים(peers ברשת )P2P
)windir/system32/wincom32.ini(-המחשב הנגוע מקבל דרך רשת הP2P כתובות URL
מהן הוא מוריד עדכונים וכלים לביצוע התקפות
9הגנה במערכות מתוכנתות - תרגול 11(c אורי אברהם )2009
P2P בשירות Storm
בד"כ שליטה ברשתותbotnet נעשית ע"י , ...(http, IRCפרוטוקול שרת-לקוח )
צריך להחזיק מידע על botnetכל מחשב ב-1.השרת, דבר המקל על זיהוי השרת
אם מנתקים את השרת או פוגעים בו, השליט 2..botnetמאבד שליטה על ה-
מסיבות אלו בחרו יוצריStorm להשתמש P2Pברשת
9הגנה במערכות מתוכנתות - תרגול 12(c אורי אברהם )2009
P2P בשירות Storm
:תהליך קבלת הפקודה של מחשב נגוע נראה כך מחרוזות 32המחשב הנגוע מגריל מחרוזות מבין 1.
חיפוש אפשריות לאותו יום ומבקש למצוא אותן ברשת (subscribe)
( עבור אותן publish מפיצים הודעות )botnetשליטי ה-2. מחרוזות אפשריות. כל הודעה כוללת: מפתח חיפוש 32
מוצפנתURL)מחרוזת( וכתובת
ומוריד URLהמחשב הנגוע מפענח את כתובת ה-3.(game0.exe – game5.exeממנה קבצי פקודה )
9הגנה במערכות מתוכנתות - תרגול 13(c אורי אברהם )2009
P2P בשירות Storm
9הגנה במערכות מתוכנתות - תרגול 14(c אורי אברהם )2009
search for: “e4x$po”
publish: )“e4x$po”,192.68.14.15(
“(e4x$po”,192.68.14.15)
192.68.14.15
קבלת פקודות
ה"פקודות" בגרסתPeacom.c:game0.exe – backdoorמוריד קבצים / game1.exe – SMTP Relaygame2.exeכלי לגניבת כתובות דוא"ל – game3.exeכלי להפצת התולעת בדוא"ל – game4.exe כלי לביצוע התקפות – DDoSgame5.exe-גרסה מעודכנת של ה – Storm Worm
Dropper
9הגנה במערכות מתוכנתות - תרגול 15(c אורי אברהם )2009
ביצוע התקפות
-בידי מפעילי הStorm botnet כח מחשוב רב בו הם יכולים לעשות שימוש כרצונם
ההתקפות הנפוצות ביותר הןDDoS )Distributed Denial of Service( ומשלוח
spam
9הגנה במערכות מתוכנתות - תרגול 16(c אורי אברהם )2009
DDoSביצוע התקפת בהתקפתDDoS פונים הרבה מחשבים בו-זמנית לשרת
המותקף ע"מ להציף אותו בהודעות ולגרום לקריסתו-בStorm, game4.exe משמש לביצוע התקפת DDoS יעד וסוג ההתקפה מתקבלים בקובץ קונפיגורציה שנמצא
game4.exeבאתר שכתובתו מקודדת בגוף :הקורבנות – שונים ומגוונים
( ספקי שירותים תמימיםcapitalcollect.com) חברותanti-malwareקבוצות ספאם מתחרות...
9הגנה במערכות מתוכנתות - תרגול 17(c אורי אברהם )2009
הסתתרות מגילוי – התחמקות מאנטי-וירוסים
לאורך הזמן, מנהלים כותבי האנטי-וירוסיםוכותבי הוירוסים משחקי חתול-עכבר:
"אנטי-וירוסים מזהים וירוסים עפ"י "חתימה אישיתוירוסים מצפינים את עצמם אנטי-וירוסים מזהים את ה"חתימה האישית" של
(packersהחבילות הקריפטוגרפיות )Storm-מצפין גם את ה – packer שבו הוא
משתמש
9הגנה במערכות מתוכנתות - תרגול 18(c אורי אברהם )2009
התחמקות מאנטי-וירוסים )המשך...(
"כלי נוסף של אנטי-וירוסים: "ארגז חול(sandbox)
סביבה מוגנת שבה האנטי-וירוס יכול להריץ אתהקובץ החשוד בלי לאפשר לו לפגוע במערכת
התהליך רץ באזור מבודד בזיכרוןהגישה למשאבים מוגבלת ביותר
ארגז החול" מאפשר ללמוד על הקוד הזדוני"מתוך אופן פעולתו
9הגנה במערכות מתוכנתות - תרגול 19(c אורי אברהם )2009
התחמקות מאנטי-וירוסים – Storm vs. Sandbox
Storm משתמש בערך )קבוע( המוחזר מקריאת packerמערכת ע"מ לחשב את מפתח הפענוח של ה-
קריאות המערכת בהןStorm עושה שימוש הן קריאות (Legacyמערכת ישנות שאינן בשימוש בפועל )
רוב תוכנות האנטי-וירוס אינן מסמלצות את קריאותהמערכת הללו ולכן נגרמת חריגה כאשר הן מנסות
ב"ארגז החול"Stormלהריץ את
9הגנה במערכות מתוכנתות - תרגול 20(c אורי אברהם )2009
התחמקות מאנטי-וירוסים – Storm vs. Sandbox
(Antirootkit.comמתוך (
9הגנה במערכות מתוכנתות - תרגול 21(c אורי אברהם )2009
הסתתרות מגילוי
-עוד שיטות שStorm:משתמש בהן הורג תהליכים שמפריעים לו )אפילוmalware
אחרים( משתק תהליכים – נראים כאילו הם רצים כרגיל
כאשר בעצם אינם עושים דבר תוקף חברותanti-malwareוחוקרים -מצפין את התקשורת ברשת הP2P
9הגנה במערכות מתוכנתות - תרגול 22(c אורי אברהם )2009
*
סיכום
Storm-הציג לעולם ה malware טכניקות חדשות ומשוכללות
המוטיבציה מאחוריStorm!כסף – משלוחspamהתקפות על מתחרים עסקייםחלוקת הרשת לסגמנטים והשכרתם תמורת כסף
בעקבות עדכונים בכלי להסרת תכניות זדוניות שלמיקרוסופט הצטמצם היקפה בצורה ניכרת
47,000 2008 מחשבים עפ"י דיווחים באוקטובר
9הגנה במערכות מתוכנתות - תרגול 23(c אורי אברהם )2009
(2סיכום )
השתתקות פתאומית2008בספטמבר – הפסיקה לנסות להדביק משתמשים חדשים-התקשורת ברשת הP2Pהשתתקה ?חוקרים חדרו לרשת והשתלטו עליה יוצרי הקוד הזדוני החליטו להקפיא אותו ולהכניס
שינויים העקבות המידע שנצבר אצל קהילת אבטחת המידע?
9הגנה במערכות מתוכנתות - תרגול 24(c אורי אברהם )2009
Recommended