Meddig foltozható egy rendszer?

forrás Prim Online, 2003. szeptember 17. 22:38

A vírusírók az esetek nagy részében akkor „alkotnak" igazán „komoly dolgot", ha ismertté válik egy rendszerhiba, egy sérülékenység, biztonsági rés. A kórokozók ezt használják ki különböző formában. A rendszerírók előtte vagy ekkor „megírják javításaikat, amikkel a réseket be lehet foltozni" - de meddig?
Nagyapáink - bár nem egy edény volt a konyhában - rákényszerültek, hogy a hibásakat megjavíttassák, megfoltoztassák. Ez ment egy ideig, de eljött az a pont, amikor az edényből a víz a folt mellett is folyt. Megfoltoztathatták volna ismét - de jött egy ésszerű számvetés: minél rosszabb lesz, annál többet kell költeni a foltozásra, ami előreláthatóan nem javítja ki a hibát. Sok folt kellene ahhoz, hogy az edény ne eresszen, és ez sokba kerül. Többe, mint egy új edény. A gondolkodás logikus, a használhatatlan edényt a többi közül kidobták, és vettek egy újat, ami sok évig garantáltan nem lyukadt ki. Valahogy ezt kellene szem előtt tartani a hibás, foltozott rendszer elemek esetében is, nem kockáztatni az egész rendszer biztonságát.

Miért írtam mindezt: néhány sor olvasása után kiderül, de a kérdéses sorok előtti ismertetők is tartalmaznak újdonságokat napjaink vírusairól, olyanokat, amiket ismerve egyszerűbben védhetjük meg rendszerünket, konfigurálhatjuk tűzfalunkat a vírusadatbázis-frissítés mellett.

***

WM97/Simuleek-C

Más név: Macro.Word97.Omni, W97M.Radnet, W97M_BUHAY, W97M/Simuleek

Fajta: Word 97 makróvírus

Leírás:

WM97/Simuleek-C makróvírus, mely egy VBS scriptet is "letesz" fertőzésekor, melyet a víruskeresők VBS/Simuleek-C-t észlelnek.

VBS/Simuleek-C a WIN.INI-be jegyez be egy parancssort, ami biztosítja, hogy minden Windows-indításkor a vírusprogram is aktiválódik, "futni kezd". Igen kellemetlen tulajdonsága, hogy a Word környezetet többször is meg tudja fertőzni, tehát ismételt vírusfertőzést újrafertőzés követ.

Eléggé nehezen "kódolható egyszerű agyunkkal", de a Simuleek-C megkísérli a talált szövegekben - ha előfordul - a "Ranuya" szót helyettesíteni "John"-nal.

***

W32/Sluter-B

Más név: W32.Randex.F

Fajta: Win32 féreg

A Sophos számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.

Leírás:

W32/Sluter-B elsősorban gyenge, könnyen dekódolható jelszavakkal védett megosztott hálózatokon terjed. Fertőzéskor a féreg bemásolja magát netd32.exe néven a Windows mappába. A regisztrációs adatbázisba - hogy futása állandóan biztosított legyen - az alábbi bejegyzéseket írja a megfelelő kulcsokhoz:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft Network Daemon Win32 = netd32.exe

és

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Microsoft Network Daemon Win32 = netd32.exe

Ezenkívül a W32/Sluter-B képes arra, hogy pontosan úgy viselkedjen, mint egy IRC hátsóajtó-féreg, és a megnyitott résen, porton korlátlan lehetősége van minden távoli betolakodónak a fertőzött rendszerbe hatolni.

***
W32/Slanper-A

Más név: W32/Slanper.féreg, Win32/HLLW.Rejase.A

Fajta: Win32 féreg

A Sophos Anti-Vírus számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.

Megjegyezés: A Sophos 2003. jún. 27. (GMT 16:51) óta észleli a vírust, de miután az analízis változásokat mutatott, szükséges ismét felhívni rá a figyelmet, és a változás alapján módosítani az adatbázist.

Leírás:

W32/Slanper-A internetféreg, aminek a célja az SMB/Windows megosztott portot birtokba venni, használni. Mindent Windows host esetében ez az SMB-vel megosztott portként működik. Itt kell megjegyezni, hogy SMB részletek vagy ahhoz hasonlóak találhatók a Unix, ill. más operációs rendszereken is. A féreg rendszerint msmsgri3.exe néven "érkezik". A fertőzés utáni első futásakor is a háttérben fut, és a regisztrációs adatbázis kódjaiban is olyan változásokat tesz, melyek ezt biztosítják:

HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/mssyslanhelper

bejegyzés tartalmazza a féreg útvonalát.

W32/Slanper-A véletlenszerűen generált listát, melyek IP listának felelnek meg. A saját maga által generált lista létező IP-it megpróbálja összekötni, és a 445-ös porton keresztül ily módon terjedni. A sok más féregtől eltérően viselkedő W32/Slanper-A féreg analizálásakor feltűnt, hogy van egy hátsóajtó (backdoor) függvény is benne.

Miért írtam, hogy érdekes, szokatlan: a féregnek van egy másodlagos összetevője, ami kiszabadulva önálló fertőzésre képes féregfajta lesz. Ez az összetevő payload.dat fájlnéven található abban a mappában, ahol a féreg is. A payload.dat kódja aktiválódik, és futni kezd, a regisztrációs adatbázist az alábbiakban módosítja:

HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/System Initialization

mindez biztosítja azt a lehetőséget, hogy amennyiben sikerült, a 445-ös port megszerzése után, azt használva, fenntartsa e kapcsolatát, úgy, hogy a féreg mindezek hátterében fut.

***

Azt hiszem hogy a következő féreg ismertetése előtt meg kell állni egy rövid időre: A Windows RPC-DCOM csomagkezelési hiba észlelése után idővel, kihasználva azt megjelent először a Troj/Autoroot-A, közben észlelték az Internet Explorer és az Outlook Express hibáit, leírásuk a Windows tudásbázis MS01-015, MS02-014, MS02-15-ben található, ill a javító patch az MS03-14 mellékleteként. A hibát használta ki a Mimail, amiről a szeptemberi Vírus Bulletin lapjain Szappanos Gábor, a VírusBuster munkatársa írt szenzációs elemzést. Majd "jött a Blaster-A", ill a Lovesan. Ez kellett ahhoz, hogy a meglévő foltot mindenki feltegye a rendszerére. De ennek elmaradása - a felhasználói felelőtlenség miatt - hatalmas endémiákat okozott. Bár aki felrakta a javításokat (úgy vélte), megnyugodhat. (Áprilisban a böngésző és a levelező két Cumulative Patch, ill. júliusban az PRC-DCOM Cumulative Patch - revizió augusztusban).

Tehát nyugodtak lehettünk egy ideig, míg ki nem derült, hogy ismétlődik a történelem: hiba van a Windows rendszerekben. „A biztonsági réseket az RPCSS Service-ban fedezték fel (az úgynevezett Distributed Component Object Model (DCOM) felületében); egy rosszul definiált üzenet nem megfelelő kezeléséből származnak. A három új sérülékenységből kettő lehetővé teszi, hogy a támadó kódot futtathasson a nyitott rendszeren, a harmadik pedig DoS-támadásra használható fel. Kiaknázásukkal a behatoló bármit megtehet (helyi rendszerprivilégiummal): programot telepíthet, ellenőrizhet, adatokat nézhet/változtathat meg vagy törölhet le, és akár új accountokat is létrehozhat a rendszerben." (terminal.hu).

Hát igen - kilyukadt a folt... Nem baj, foltozzuk meg - sürgős javítás, újabb javítás, és annyi folt került a Windows csomagkezelő alkalmazására, hogy "már nem is látszik". Vagy mégis - a Blastertől egy valamit megtanulhattunk: DCOM összetevő az alábbi portokon támadható: TCP/IP port 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP, 1086/TCP, 4444/TCP. Melyik portot "nézte ki" magának?, a 445-ös portot.

Az PRC -DCOM protokoll esetében intranetes környezetben a kommunikáció a 135-ös porton történik: "Ha az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található - kimondható, hogy a hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton. Intranetes környezetben ez a port általában elérhető, az internethez csatlakozó számítógépeknél azonban a 135-ös portot rendszerint blokkolja a tűzfal."

Ez eddig rendben is van - de ne feledkezzünk meg, hogy a 445 TCP, UDP port is hasonlóan sérülékeny pontja a protokollnak.

Az „ismételt" hiba felfedezésekor néhány igen komoly szaktekintély részben magánlevélben, részben nyilatkozatban felvetette, hogy az előzőhöz, a Blasterhez hasonlóan, itt is a hiba felfedése után kb. 2 héttel vérhatóak a "komolyabb, intelligensebb" vírusok, várható egy hibán alapuló vírusinvázió. Előfordulhat, hogy a W32/Slanper-A a várható invázió előfutára lenne?

***

Troj/JSurf-B

Fajta: Trójai

Leírás:

Troj/JSurf-B HTML formátumú e-mail részeként terjed, elvileg a Cumulative Internet Explorer of Patch (MS03-032) megerősítette a hibát, védetté tette a gépeket.

Ha mégsem védené meg, vagy ha nem installálták a javítást, arra az esetre: amit a féregről tudni kell:

A HTML e-mail tartalmaz egy címet, egy "Object Data"-t. Olyan távoli objektét, amin egy VBS script fut. A fertőzés esetén a gépre jut egy .exe fájl, a rendszermeghajtóra, SFBAR.EXE néven. Ennek "segítségével" a távoli weblapról a Troj/JSurf-B letölt egy DLL-t: C:\Program Files\win32.dll. Ha mindez sikerül, akkor mint regsvr32.exe futhat a vírus a rendszeren. Azt hiszem, hogy a következményeket kár taglalni.

***

W32/Blaxe-A

Más nevek: Worm.P2P.Blaxe, Win32/Lablan.A, W32.HLLW.Blaxe, WORM_BLAXE.A

Meghatározás: Win32 féreg

Leírás:

W32/Blaxe-A minden elérhető, "nyitott" P2P megosztott hálózaton képes terjedni. Fertőzéskor, mikor a W32/Blaxe-A bemásolja magát a Windows mappába, BearShare.exe és WinBat.exe neveken, a következő változásokat idézi elő futása érdekében a rendszerleíró adatbázisban:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\BearShare

= WindowsBearShare.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BearShare

= Windows\BearShare.exe

W32/Blaxe-A hozzáadja az útvonalát (ha van) a WinBat.exe-hez, illetve a regisztrációs adatbázishoz, hogy MS-DOS rendszeren is futhasson.

HKLM\Software\CLASSES\batfile\shell\open\command

W32/Blaxe-A a Kernellbe másolja magát különféle neveken.


W32/Blaxe-A a Windows\Kernell\ mappát megosztja, és ezáltal bármely fájlmegosztó rendszeren keresztül (KaZaA, Grokster és iMesh P2P hálózatok) a Kernell, ill a regisztrációs adatbázis elérhetővé válik. Különösen azért, mert a féreg az utóbbiba a következő bejegyzéseket teszi:

HKCU\Software\Kazaa\LocalContent\dir0 = 012345:C:\WINDOWS\kernell

HKCU\Software\Grokster\LocalContent\dir0 = 012345:C:\WINDOWS\kernell

HKCU\Software\iMesh\Client\LocalContent\dir1 = 012345:C:\WINDOWS\kernell

HKCU\Software\iMesh\Client\LocalContent\dir2 = 012345:C:\WINDOWS\kernell

W32/Blaxe-A "természetesen" bemásolja magát a KaZaA, KaZaA Lite, BearShare, Grokster és Morfeusz osztozott mappákba, ahol, mint "tartalék futtatható fájl pihen". (vírusleírások: Sophos Antivirus )

Ha valaki megtisztelt azzal, hogy elolvasta mindezt, neki nem kell magyaráznom talán merész hasonlatomat. Ettől függetlenül fenntartom, de nem csak hasonlatként, hanem lehetőségként, megoldásként is. Mindössze egy kis számolást kell végezni: mekkora károkat okoztak az RPC -DCOM protokoll hibái + mennyibe került javításuk + mekkora kárt okoz a jelenlegi hiba + mekkora várható még = egyetlen kérdés maradt: megéri így hibákat elhárítani?

Geysap