12.08.2002

Когда не спасают IDS, Firewall и антивирусы: обнаружение и изучение IRC троянов. (часть вторая)

Многочисленные свидетельства подобной хакерской активности в последнее время, основанные на полученных доказательствах, говорят о более чем 100 подобных инцидентах только на территории США. Из этого можно сделать вывод, что IRC трояны и подобные им инструменты осуществили огромное количество успешных нарушений безопасности. При этом стоит учитывать тот факт, что в подавляющем большинстве случаев вторжение происходит незаметно и остается так и не обнаруженным хозяином компьютера.

Анатомия троянов

Полезно понять, что из себя представляет этот троян, и из каких частей состоит. Он не подпадает под классификацию Trend Micro's virus encyclopedia, и авторы и разработчики современного антивирусного обеспечения вынуждены были вносить изменения в свои продукты.

После выполнения, этот backdoor malware извлекает следующие файлы:

C:\Winnt\system32\ght.dll
C:\Winnt\system32\hajr.drv
C:\Winnt\system32\iexplorer4.cab
C: \\ Winnt\system32\Msboot.exe
C:\Winnt\system32\msflxgd.exe
C:\Winnt\system32\smtp.txt
C:\Winnt\system32\syscribe.txt

После чего запускает Msboot.exe, файл, написанный на Visual Basic, который и является программой-загрузчиком. Чтобы запускаться в случае перезагрузок компьютера, программа создает в реестре ключ запуска следующим образом:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunServices
?Microsoft ReBoot?= ?C:\Winnt\system32\Msboot.exe?

MSFLXGD.EXE - измененный PE-Compact mIRC клиент. После запуска, он пропускает сценарии конфигурации - netv.ocx (определяемый, как IRC _SOER.A). С этим и другими дополнительными сценариями допуска, он функционирует, как backdoor-программа, соединяющаяся с сайтом Irc.Kamaz.Kz через 7777 порт. Там она присоединяется к определенному каналу и начинает обмениваться сообщениями с хакером. Она также ждет определенные ключевые фразы, которые служат сигналом для запуска различных процессов.

Когда эта программа запущена на инфицированном компьютере, хакер получает возможность выполнять следующие действия:

  1. Сканирование портов
  2. Запуск TCP и UDP flood
  3. Инициирование файлового сервера
  4. Редактирование реестра
  5. Форматирование жестких дисков жертвы
  6. Соединение с URL
  7. Просмотр дисков жертвы
В дополнение к обнаруженным свойствам, обнаружили следующие возможности:
  • способность отправлять «почтовые бомбы».

  • способность сканировать на SubSeven, включая возможность проверки заголовков связи.
Также мы обнаружили, что хакер добавляет или меняет периодически сценарии для своих зомби.

Жертвы

Похоже, что основной целью данного хакера была атака на MS-SQL серверы, использующие Windows NT/2000. Все его зомби имели SQL серверы с с пустым паролем для sa.

Мы использовали следующие методы:

  • Переписывание mIRC скриптов, чтобы отключить возможности злоумышленника

  • Обнаружение канала, использование специальных команд, извлеченных из первоначальных скриптов, для получения полного контроля над сетью зомби.

  • Запуск команды 'inf0', показывающей IP-адреса всех зарегистрированных зомби.

  • Запуск PERL скрипта, чтобы получить SMTP заголовки от зомби (см. Пример 4).

  • Сканирование портов одним зомби и обнаружение множества интересных портов, но особенно 1433, так как один из первоначальных просмотров был именно для этого порта. Это было MS-SQL управление. Аккаунт SA имел нулевой пароль. Мы проверяем несколько других зомби и подтверждаем обнаруженные закономерности.

  • Обычные методы идентификации хоста (nslookup, whois, nmap, и т.д.)

Пример 4. SMTP- заголовки

194.102.126.7 Banner: 220 sediu Microsoft ESMTP MAIL Service, Version:
5.0.2195.4905 ready at Wed, 8 May 2002 14:59:08 +0300
206.132.210.10 Banner: 220 risnt7.lefrak.com ESMTP Server (Microsoft Exchange
Internet Mail Service 5.5.2650.21) ready
24.228.6.199 Banner: 220 ramaposoftware.BEXTInc.com Microsoft ESMTP MAIL
Service, Version: 5.0.2195.2966 ready at Wed, 8 May 2002 07:51:10 -0400
24.90.7.117 Banner: 220 computech-srvr.computechny.com Microsoft ESMTP MAIL
Service, Version: 5.0.2195.4905 ready at Wed, 8 May 2002 07:52:43 -0400
24.98.120.133 Banner: 220 infoe.infoequation.com Microsoft ESMTP MAIL Service,
Version: 5.0.2195.2966 ready at Wed, 8 May 2002 07:53:37 -0400
24.98.20.168 Banner: 220 server20002.DOMAIN2000 Microsoft ESMTP MAIL Service,
Version: 5.0.2195.2966 ready at Wed, 8 May 2002 07:46:34 -0400
61.79.104.99 Banner: 220 minserver1 Microsoft ESMTP MAIL Service, Version:
5.0.2195.2966 ready at Wed, 8 May 2002 20:51:27 +0900
64.210.163.25 Banner: 220 webdemo Microsoft ESMTP MAIL Service, Version:
5.0.2195.4453 ready at Wed, 8 May 2002 04:54:29 -0700
64.210.163.75 Banner: 220 rational2.i-telco.com Microsoft ESMTP MAIL Service,
Version: 5.0.2195.2966 ready at Wed, 8 May 2002 04:55:12 -0700
64.210.163.78 Banner: 220 SLIN.i-telco.com Microsoft ESMTP MAIL Service,
Version: 5.0.2195.1600 ready at Wed, 8 May 2002 04:55:29 -0700

Наконец, мы послали по электронной почте хозяевам зараженных компьютеров сообщения в наиболее простой и понятной форме, в которых мы описали обнаруженную злонамеренную деятельность на их машинах, ставящую под угрозу их приватную информацию.

Заключение

Многочисленные свидетельства подобной хакерской активности в последнее время, основанные на полученных доказательствах, говорят о более чем 100 подобных инцидентах только на территории США. Из этого можно сделать вывод, что IRC трояны и подобные им инструменты осуществили огромное количество успешных нарушений безопасности. При этом стоит учитывать тот факт, что в подавляющем большинстве случаев вторжение происходит незаметно и остается так и не обнаруженным хозяином компьютера. Стоит отметить, что эти методы становятся все более и более изощренными. Каждый такой «хозяин сети зомби» (или, как таких еще называют исследователи - «некромант») - не просто рядовой хакер-недоучка, а технически грамотный специалист, к которому надо относится с некоторым уважением, хоть он и является, фактически, преступником.

Существует мнение, что схожую тактику используют и некоторые государственные учреждения США и других стран – установка троянских программ, незаметно в течение длительного времени собирающих информацию о владельцах компьютеров. И, дескать, именно поэтому существующие защитные программы и не способны справиться с подобным видом деятельности – разработчиков явным или неявным способом заставляют оставлять эту дыру в защите для использования правительственными структурами. Звучит малоправдоподобно, но, в любом случае, стоит признать, что по отдельности ни межсетевые защиты, ни снифферы, ни системы обнаружения вторжения, ни антивирусы не способны обнаруживать подобную деятельность. И лишь комбинации из нескольких типов защитных систем (IDS+сниффер+firewall, IDS+программы просмотра логов, и т.д.) способны обнаруживать подобное нелегальное использование вашего компьютера.

Будьте бдительны!

 

или введите имя

CAPTCHA