1. Що таке вірусна пастка?
2. Типи і застосування вірусних пасток
3. Іду на хробака
4. Лістинг A: Сценарій видалення MSBlaster з вихідного комп'ютера

Іноді недостатньо лише перешкодити атаці вірусів, «черв'яків» і «троянських коней" - потрібно захопити шкідливу програму і отримати від неї все, що цікавлять нас відомості. За допомогою пастки для вірусів навіть не мають навичок діагностики мережеві адміністратори зможуть розпізнати вторгнення на ранніх стадіях. В даній статті розповідається про деякі методи лову шкідливих програм і наводяться приклади їх застосування.

Що таке вірусна пастка?

Просте визначення вірусної пастки: програма, або програма-приманка, мета якої - виявити, уповільнити або захопити певний зразок або тип шкідника для подальшого вивчення. Приманка - невиробничий комп'ютер, створений для спостереження за його несанкціонованим використанням. Антивірусна приманка - спеціалізована приманка для виявлення і захоплення автоматизованих шкідливих програм. Вона в меншій мірі, ніж звичайна приманка, орієнтована на нападу цілеспрямованих зломщиків, які організовують лише малу частину всіх атак. Щоб виявляти зломщиків, що діють вручну, потрібно більш функціональна і складна приманка.

Відображаючи нападу шкідливих програм, в першу чергу необхідно відповісти на два питання:

• Які вразливі місця намагається відшукати шкідлива програма?
• Які дії буде виробляти руйнівна програма, отримавши доступ через виявлене вразливе місце?

Мета першого питання - з'ясувати, яким чином шкідник планує атакувати мережеві комп'ютери; відповідь підкаже заходи, які повинен прийняти адміністратор, щоб зупинити шкідника (або хоча б звести до мінімуму шкоду). Друге питання відноситься до істинних цілей зловмисника. Чи є спроба несанкціонованого доступу самоціллю, або справжня мета - зіпсувати дані, вкрасти файли, розсилати спам, або виявити вільне місце на диску для зберігання шкідливих файлів або неліцензійного цифрового контенту? Вірусна пастка допоможе відповісти на ці питання.

Вірусна пастка може бути корисна в різних ситуаціях, в тому числі:

• У антивірусних списках з'явився новий "черв'як". Адміністратор вважає, що його мережева інфраструктура надійно захищена від атаки, але хоче отримати раннє попередження, якщо шкідник проникне всередину периметра. Або отримано повідомлення про "черв'яка", і в комп'ютерах мережі з'явилися симптоми інфекції.
• Якийсь шкідник постійно атакує брандмауер на периметрі, і його необхідно захопити, щоб з'ясувати мету спроб проникнути в мережу або вийти з мережі.
• Зломщики і шкідливі програми успішно проникають в мережу і сервери, і адміністратор повинен з'ясувати, як це відбувається.

Типи і застосування вірусних пасток

Існує чотири типи пасток для вірусів: прослуховувачі порту (port listener), "смоляні ями" (tarpit), приманки (honeypot) і віртуальні системи.

Прослуховувачі порту. Прослуховувач порту - будь-яка програма, яка може відкрити IP-порт і захопити дані, що надходять в цей порт. Прослуховувачі порту - найпростіші програми. Їм не потрібно імітувати службу, видавати себе за сервер або відповідати на будь-які запити. Вони лише записують дані, що надходять до них. Недолік Прослуховувач порту - неможливість використовувати їх для контролю TCP-трафіку в контексті протоколу, який завжди вимагає відповіді для організації успішного сеансу зв'язку. Однак іноді достатньо лише прослуховування.

Наприклад, "хробак" SQL Slammer використовує для нападів єдиний 376-байтний UDP-пакет. Щоб захопити його, досить просто прослуховувати UDP-порт 1434. В даний час найпоширеніший прослуховувач порту - Netcat, безкоштовна утиліта, яку можна завантажити з вузла http://www.vulnwatch.org/netcat . Netcat можна використовувати для різних цілей, в тому числі для організації одного або кількох сеансів прослуховування портів. Спіймати "хробака" Slammer можна за допомогою наступної команди Netcat:

Ключ -vv вказує на необхідність видачі на екран повідомлень про спроби з'єднань, -l забезпечує прослуховування вхідних з'єднань через порт, заданий ключем -p, а зібрані дані зберігаються в текстовому файлі з ім'ям port1434.log. Якщо застосовується ця команда, то слід натиснути клавіші Ctrl + C, щоб завершити сеанс Netcat або ввести з клавіатури

щоб вивести на екран підказку Netcat.

На Екрані 1 показаний зразок "хробака" SQL Slammer, захопленого в Прослуховувач порту Netcat. Картина навряд чи буде зрозумілою комусь, крім програмістів, так як захоплений виконується код являє собою частину переповнення буфера. Проте, текст, наступний за командою

є "хробак" SQL Slammer. Якщо розпізнати "хробака" не вдається, то пошук, проведений в Internet за кількома представленим на екрані рядках, покаже, що захоплений програмний код належить SQL Slammer. Потім можна протестувати всі системи SQL Server і переконатися, що на всіх системах встановлені виправлення проти "хробака". Повний вихідний текст SQL Slammer опублікований за адресою http://www.eeye.com/html/research/flash/sapphire.txt . Якщо атаки тривають з того ж вихідного IP-адреси, можна навіть спробувати встановити контакт з його власником або застосувати інші заходи захисту комп'ютерів.

"Смоляні ями". "Смоляні ями" використовуються в більшій мірі для уповільнення поширення шкідливих програм, ніж для захоплення і відображення їх програмного коду. LaBrea ( http://labrea.sourceforge.net ), Спроектована Майклом Робінтоном, була першою і як і раніше залишається найпоширенішою "смоляний ямою". Програма відповідає на всі запити, спрямовані до неіснуючого IP-адресою. Після затримки, необхідної будь-якого робочого комп'ютера для відповіді, LaBrea відповідає на спроби встановити з'єднання таким чином, щоб шкідлива програма затратила якомога більше часу (максимально збільшуються періоди повторної передачі і очікування TCP / IP). LaBrea уповільнює роботу шкідливих програм і дії хакерів, і визначає їх вихідний IP-адреса (Екран 2). Функціональність LaBrea навмисне обмежена, але програма надзвичайно успішно виконує своє завдання. Її здатність сповільнювати поширення "черв'яків" з Internet, відповідно до намірів автора, підтверджена на багатьох реальних "черв'яків" і лабораторних тестах.

Принади. Принади - чудовий метод захоплення "черв'яків" з Internet з більш складною взаємодією. Більшість приманок має Прослуховувач порту і більш розвиненими механізмами взаємодії. Наприклад, більшість приманок легко взаємодіє з шкідливими програмами, які вимагають TCP-квітірованія, і відповідає з використанням запропонованих команд. Багато приманки прості для установки і мають у своєму розпорядженні безліччю вбудованих функцій протоколювання і попередження. В результаті вони стають ідеальними пастками для вірусів.

Деякі фахівці, в тому числі Лоран Одо з групи Rstack ( http://www.rstack.org ), Застосовували Honeyd ( http://www.honeyd.org ), Поширену приманку з відкритим кодом, для упіймання "хробака" MSBlaster, коли той атакував комп'ютери по всьому світу. "Черв'як" шукає TCP-порт 135, тому користувачі Honeyd ведуть прослуховування з цього порту, додаючи наступний рядок в файл Honeyd.config:

Виявивши відкритий порт, "хробак" намагається викликати переповнення буфера з використанням віддаленого виклику процедури (RPC) DCOM. Якщо переповнення буфера сталося, то в реальному комп'ютері "хробак" встановлює з'єднання з TCP-портом 4444 і завантажує основне тіло за допомогою Trivial FTP (TFTP) через TCP-порт 69.

Щоб зловити "хробака", користувачі Honeyd створили службовий сценарій захоплення msblaster.sh і додали його до порту 4444 за допомогою команди налаштування Honeyd, яка виглядає приблизно так:

Сценарій msblaster.sh встановив з'єднання з хакером і отримав виконуваний файл MSBlaster:

Сценарій використовує програму tftp.exe (розташовану в папці system32 в більшості систем Windows), щоб завантажити msblaster.exe для дослідження. Додаткові відомості можна знайти в документі "Honeyd vs Msblast.exe" ( http://www.citi.umich.edu/u/provos/honeyd/msblast.html ) Або чудовому матеріалі "Fighting Internet Worms With Honeypots" ( http://www.securityfocus.com/infocus/1740 ). Аналогічні сценарії і прийоми можна використовувати для захоплення більшості скануючих "черв'яків" з Internet.

Іноді недостатньо просто захопити "хробака". У згаданих вище статтях про сценарії захоплення MSBlaster міститься сценарій контратаки, він використовується деякими адміністраторами в спробі зупинити натиск "хробака" MSBlaster. Додаткові відомості про активний підході міститься в урізанні "Іду на хробака" . Більш детальна інформація про запуск та налаштування Honeyd приведена в статті "Використання приманок на базі Windows", опублікованій в четвертому номері Windows IT Pro / RE за 2004 рік і в статті "Пакет Honeyd for Windows", ( http://old.osp.ru/win2000/solutions/508_71.htm ).

Віртуальні системи. Кращий спосіб зібрати повну інформацію про взаємодію шкідливої ​​програми з майже реальним комп'ютером - використовувати віртуальну систему, таку як VMware Workstation ( http://www.vmware.com ) Або Microsoft Virtual PC 2004 року ( http://www.microsoft.com/windows/virtualpc/default.mspx ). Програмні віртуальні системи можуть імітувати реакцію справжнього комп'ютера на дії вірусів і "черв'яків".

За допомогою мережевого аналізатора, такого як безкоштовний Ethereal ( http://www.ethereal.com ), Можна відстежувати вихідний і вхідний трафік віртуального сеансу, і використовувати безкоштовні утиліти Regmon і Filemon ( http://www.sysinternals.com ) Для виявлення змін в мережевому трафіку, реєстрі і файлової системи. Більш детальну інформацію про використання програмних віртуальних систем в якості приманок і вірусних пасток можна знайти в статтях "Використання приманок на базі Windows" і "Пакет Honeyd for Windows". Важливо звернути несанкціонований трафік тільки в потрібний сеанс і не дозволити шкідливої ​​програми використовувати віртуальний сеанс в якості відправної точки для атаки на комп'ютери. Захопивши шкідливу програму за допомогою простого Прослуховувач портів, "смоляний ями", приманки або віртуальної системи, можна детально дослідити шкідника або передати його для аналізу постачальнику антивірусних програм. Поставивши капкан для вірусів, адміністратор отримає своєчасну і достовірну інформацію про погрози для мережі.

Іду на хробака

MSBlaster атакував тільки комп'ютери Windows, на яких не були своєчасно встановлені відповідні виправлення. Компанія Microsoft і деякі інші організації, що забезпечують безпеку в Internet, неодноразово закликали користувачів Windows встановити виправлення на своїх системах. На жаль, багато користувачів не почули попереджень. "Черв'як" MSBlaster успішно заразив сотні тисяч комп'ютерів. Навіть якщо в мережі підприємства були встановлені всі виправлення, MSBlaster міг уповільнити її роботу через великого числа атакованих комп'ютерів.

Деякі адміністратори підготували службовий сценарій (Лістинг A). Якщо з ним встановлено з'єднання, то сценарій встановлює зворотне з'єднання з комп'ютером-джерелом, знищує процес "хробака" MSBlaster, видаляє шкідливу запис реєстру (за допомогою створеного "на ходу" файлу редагування) і перезавантажує систему. Результати несанкціонованого застосування активних сценаріїв в комп'ютерах і мережах можуть бути суперечливими. На перший погляд, видалення "хробака" завжди корисно, але при видаленні "черв'яків" деколи виникають настільки ж серйозні або більш важкі проблеми, ніж первинне зараження.

Наприклад, хтось із кращих спонукань створив "черв'яка" Welchia, функції якого були майже такими ж, як у сценарію в лістингу A. Welchia встановлював з'єднання з уразливими комп'ютерами, видаляв MSBlaster і завантажував виправлення Microsoft, щоб усунути лазівку. "Черв'як" MSBlaster завдавав неприємності протягом декількох днів, але Welchia викликав відмови в роботі мереж ще протягом декількох тижнів, так як його механізм сканування був ще більш агресивним, ніж первинний "хробак". Welchia створив набагато більшу загрозу, ніж хвороба, яку він повинен був вилікувати.

Лістинг A: Сценарій видалення MSBlaster з вихідного комп'ютера