BLASTER
18
Click here to load reader
description
BLASTER. Tiempo restante para el apagado. Marçal Argudo Santi Bartolomé Victor Jiménez. Blaster: Índex del seminari. Introducció Una mica d’història... El problema amb RPC Funcionament La Gran Pregunta Solucions Curiositats Bibliografia. Blaster: Introducció (I). Què és?. - PowerPoint PPT Presentation
Transcript of BLASTER
BLASTER
Tiempo restante para el apagado...Marçal Argudo
Santi Bartolomé
Victor Jiménez
Blaster: Índex del seminari
• Introducció
• Una mica d’història...
• El problema amb RPC
• Funcionament
• La Gran Pregunta
• Solucions
• Curiositats
• Bibliografia
Blaster: Introducció (I)
• Què és?
Msblast és un cuc destructiu descobert el 12 d’Agost del 2003, que aprofita la vulnerabilitat del DCOM RPC.
• Quins sistemes afecta?
Microsoft Windows NTMicrosoft Windows MeMicrosoft Windows 2000Microsoft Windows XPincloent els servidors NT, 2000 i Server 2003
A diferència de la gran majoria de cucs, Blaster no infecta els ordinadors a través del correu electrònic, sinó que circula per Internet buscant portes d’entrada (ports) que li permetin entrar a les màquines dels usuaris perquè el seu creador pugui fer-se’n amb el control.
Blaster: Introducció (II)
Blaster: Una mica d’història...
• El problema amb les RPC de Windows:
El 16 de Juliol de 2003 Microsoft difon un butlletí on s’informa oficialment d’una vulnerabilitat en el seu sistema d’RPC.
Un mes més tard...
Es detecten els primers casos d’ordinadors afectats pel cuc Blaster, el qual aprofita aquesta vulnerabilitat.
Blaster: El problema amb RPC (I)
Existeix un punt vulnerable en la part de les RPC de Windows que s’encarrega de l’intercanvi de missatges sobre TCP/IP.
Concretament aquest error afecta a l’interfície DCOM (Model d’Objecte de Component Distribuït) amb RPC, que escolta pel port 135 de TCP/IP.
Blaster: El problema amb RPC (II)
Hi ha vulnerabilitat perquè el servei RPC de Windows no comprova correctament les entrades de missatges en determinades circumstàncies.
• Quina és la causa de la vulnerabilitat?
El servei Locator de win s’encarrega de mapejar noms lògics d’un objecte de la xarxa, en noms específics de la xarxa per poder-los utilitzar en les RPC.
Quan rep noms que no reconeix no els rebutja, sinó que els emmagatzema al buffer.
Blaster: El problema amb RPC (III)
Un enviament massiu de missatges provocarà un desbordament del buffer.
• Com es pot aprofitar aquest error?
Una vegada s’ha desbordat el buffer, el sistema executarà qualsevol RPC que li arribi.
Al haver-hi el desbordament en el buffer, s’accepta tota RPC que es rebi, de manera que l’atacant pot executar el codi que vulgui.
Blaster: Funcionament (I)
1- Aquest cuc rastreja un rang d’adreces IP per buscar sistemes operatius Windows vulnerables al tenir l’accés permés al port 135/TCP.
• Com es propaga?
2- Un cop localitzada la futura víctima fa ús de la recent vulnerabilitat “desbordament de buffer en RPC DCOM” (un fallo en les crides a procediment remot que, en definitiva, suposa que la màquina no pot respondre davant tanta demanda d’informació).
3- Acte seguit utilitza el port 4444/TCP i obre una sessió TFTP amb un shell remot. Des d’allà descarrega i executa l’arxiu MSBLAST.EXE.
Blaster: Funcionament (II)
4- Aquest arxiu es sol descarregar al directori C:\Windows\System32 o C:\WINNT\System32 (depenen del sistema operatiu). Ocupa 6176 Bytes.Un cop executat el cuc crea la clau del registre:
• Com es propaga?
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"windows auto update" = "msblast.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"windows auto update" = "msblast.exe I just want to say LOVE YOU SAN!! bill"
Això provoca que msblast.exe s’executi cada cop que el sistema arranca.
Blaster: Funcionament (III)
L’objetiu final del cuc és produir atacs de denegació de serveis (DoS) contra el site Web de Microsoft, windowsupdate.com, a partir del 16 d’agost. Per això, Blaster enviarà un paquet de 40 bytes a la Web esmentada cada 20 mil·lisegons, a través del port TCP 80.
• Objectiu del cuc:
Blaster: La Gran Pregunta (I)
Blaster utilitza un exploit per aprofitar la vulnerabilitat dels RPC’s en windows.
• Per què es reseteja el sistema?
Un exploit és un troç de codi que explota una vulnerabilitat del sistema a atacar.
Blaster té preparats dos tipus d’exploits: un per sistemes winNT, i una altre per winXP.
El problema sorgeix quan envia un exploit d’un tipus a un sistema de l’altre tipus. Això pot provocar que s’aturi svchost.exe i per tant s’hagi de reiniciar el sistema.
Blaster: La Gran Pregunta (II)
Svchost.exe és un programa que s’encarrega de gestionar les crides a DLL (Dinamic-Link Libraries) a windows.
• Per què es reseteja el sistema?
Quan Blaster intenta executar l’exploit de winXP en un sistema NT (o viceversa), svchost.exe no reconeix el format de les llibreries, i es produeix un error irrecuperable sobre RPC. Aixó fa que svchost.exe es bloquegi i s’hagi de reiniciar el sistema.
En cap cas és una acció directa de Blaster (el codi que reinicia la computadora és de Microsoft).
Sistemes diferents...llibreries diferents!
;-)
Blaster: Solucions (“chapucillas”)
Microsoft va decidir tancar el servidor de windowsupdate, obrint-ne un altre amb una altra adreça. “Muerto el perro, muerta la rabia”.
• Com es va solucionar l’atac DoS?
Microsoft va afanyar-se a repartir uns parches especials per a cada sistema, juntament amb la informació de com esborrar el cuc del sistema.
• Com es va solucionar la vulnerabilitat de les RPC?
Blaster: Curiositats (I)
WORM_MSBLAST.A (Trend Micro), W32/Blaster (Panda Software), W32/Lovsan.worm (McAfee), W32.Blaster.Worm (Symantec), I-worm.Lovsan (Kaspersky (viruslist.com)), Troj/Msblas (PerAntivirus), WIN32/LOVSAN.A (Enciclopedia Virus (Ontinent)), W32/Blaster-A (Sophos), Win32.Poza (Computer Associates), W32/Blaster (Hacksoft), WORM_MSBLAST.GEN (Trend Micro), Lovsan (F-Secure), Win32/MSBlast.A (RAV)
• Altres noms amb els que es coneix:
Blaster: Curiositats (II)
11 d’Agost de 2003
• Primera aparició del cuc:
Nom: Jeffrey Lee Parson
Nick: teekid
Edat: 18 anys
Alçada: casi dos metres
Pes: casi 150 kilos
Nacionalitat: Minesota (EEUU)
• Autor:
Blaster: Curiositats (III)
El virus programat per Jeffrey no és més que una variació del virus Blaster, anomenada Blaster.B, on hi va afegir un mètode per poder tornar a connectar, posteriorment, amb els ordinadors afectats pel virus.
• Virus (més coses):
Blaster: Bibliografia
http://www.microsoft.com/security/security_bulletins/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880
http://www.clcert.cl/pipermail/alertas/2003-January/000052.html
http://www.wininfo.com.ar/svchost.html
http://www.hispasec.com/unaaldia/1728/
http://www.fbi.gov/fieldnews/august/doj082903.htm
http://poetry.rotten.com/fingerhead/
http://foro.megamultimedia.com/viewtopic.php?t=317
http://www.delitosinformaticos.com/noticias/106252062585632.shtml
