[Question] [Thảo luận]: Storm worm botnet |
21/05/2008 22:00:22 (+0700) | #1 | 131800 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Đầu tháng giêng năm 2007, trên mạng xuất hiện một loại worm mới có tên là "Storm Worm". Nó được nhiều antivirus nhận diện với tên kỹ thuật: W32/Small.DAM hoặc Trojan.Peacomm. Nó chỉ là một con worm mới trong hàng triệu con worms đã xuất hiện? Không, nó là một dạng mới rất đáng chú ý. Con worm này là thủ phạm tấn công từ chối dịch vụ đến spamhause, một RBL (Relay black list) lớn nhất trên mạng. Theo phỏng định của Sophos, đến nay botnet được "Storm" tạo ra chỉ còn chừng 5% kích thước nguyên thủy khi nó dùng để tấn công hồi đầu 2007.
Trên diễn đàn đã có một chủ đề về con worm "Storm" này nhưng chỉ dừng lại ở mức độ "hỏi / đáp" một cách tổng quát. Tôi mở chủ đề này ra với hy vọng có những tham gia phân tích và thảo luận thật sự chớ không chỉ "hỏi và đáp".
Lý do tại sao con worm này đáng được chú ý? Có hai lý do sau:
1) Nó có nhiều tính năng tinh vi và đa dụng hơn những con worm khác trước đây.
2) Nó là con worm đầu tiên sử dụng mạng P2P để phát tán và tấn công.
Ngoài core module ra, con worm này có 5 bộ phận với 5 chức năng đặc thù:
game0.exe - Backdoor/downloader
game1.exe - SMTP relay
game2.exe - Email address stealer
game3.exe - Email virus spreader
game4.exe - DDoS attack tool
game5.exe - Updated copy of Storm Worm dropper
Thử suy nghĩ và dựa trên kiến thức tổng quát về mạng và bảo mật để phân tích xem:
1) lý do tại sao chúng có 5 chức năng trên?
2) chúng có hạn chế gì và đã đột phá được gì?
3) tương lai sắp tới, nếu "thừa hưởng" những gì "Storm" đã đưa ra, các con worm sẽ như thế nào? Dung hại ra sao?
Rất mong những thảo luận nghiêm túc và chuyên nghiệp từ các bạn.
PS: xin báo trước các thảo luận què cụt và có dạng "cho em hỏi" sẽ mặc nhiên bị xóa mà không cần báo trước. Cám ơn. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thảo luận]: Storm worm botnet |
21/05/2008 22:43:05 (+0700) | #2 | 131817 |
dungcoi_vb
Member
|
0 |
|
|
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
|
|
https://forums.symantec.com/syment/blog/article?message.uid=305325
Hay thật, thay vì đính kèm luôn vài email lại sử dụng lỗ hổng từ Windows Media để nhiễm vào máy nạn nhân : Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
https://forums.symantec.com/syment/blog/article?message.uid=305327
-
When applet.exe runs, it first makes a copy of itself as spooldr.exe in the Windows folder, and drops an embedded kernel driver in the System folder, as spooldr.sys. It also tries to infect a Windows device driver named kbdclass.sys. This is the loadpoint used by Peacomm. During the next reboot, the infected driver is loaded by Windows, as it should be—its role is to load spooldr.sys.
Spooldr.sys has several functionalities, and uses smart tricks to achieve its goals. First, it acts as a loader for the real Trojan, spooldr.exe, located in the Windows folder. To do that, it injects a shellcode-like routine in explorer.exe, responsible for creating a spooldr.exe process. The loading scheme is very clever: first, the driver locates kernel32 in memory by resolving the address of CloseHandle, and checking for the MZ magic around this value. It then resolves two APIs, VirtualProtect and WinExec. It builds and injects a small payload in explorer.exe, and hooks the import entry for PeekMessageW, an API frequently used by windowed applications (like Explorer). The hook points to the payload, so that when explorer calls PeekMessageW, it will be executed. The first thing the payload does is to unhook this import entry; it then creates the spooldr.exe process. The routine then jumps to the real PeekMessageW code to ensure normal application behavior – and to avoid crashing Explorer! This way, the threat does not have to create a remote thread in Explorer, a technique commonly used by middle-class malware and monitored by some security software.
It’s also responsible for hiding the newly created spooldr process, as well as any file beginning with spooldr (this is done by hooking the ZwQueryDirectoryFile system call). This way, the three files used by the Trojan – spooldr.exe, spooldr.sys and spooldr.ini, the peers list – will be hidden from the user’s eye.
The rootkit also protects the Trojan from third-party security software, such as firewalls or anti-virus. A kernel callback is setup, via PsSetLoadImageNotifyRoutine, to track process creation and eventually kill malware-unfriendly ones. It also locks two files, ntoskrnl.exe (the Windows kernel) and kbdclass.sys (the infected Windows driver). It seems the purpose of these locks is to prevent rootkit detectors to work, by forbidding them to open critical system files – and check differences with the ones loaded in memory, tampered with by the rootkit.
Though Peacomm functionalities haven’t changed, the mode of infection has been improved. The registry is now not used as a loading point, as Peacomm uses virus-like techniques to get its payload loaded by the system at startup.
-
|
|
|
|
|
[Question] Re: [Thảo luận]: Storm worm botnet |
22/05/2008 01:26:04 (+0700) | #3 | 131866 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Tham khảo thêm phân tích kĩ thuật của Storm worm http://www.secureworks.com/research/threats/storm-worm/?threat=storm-worm
Nhìn chung, ngoài ý tưởng hình thành botnet thông qua giao thức eDonkey/Overnet, worm này có mang các đặc tính phổ biến như:
- Backdoor
- Exploit module: dùng mã khai thác lỗi chưa được vá nhằm tăng cường khả năng phát tán.
- Thu thập thông tin đáng giá của victims: email addresses, credit card, serials/CD-key...
- Mass mailing: spam hoặc phát tán worm
- Attacks tools
- Hệ thống tự bảo vệ chống AV, Antispyware: như anti-debug/reverse, obfuscated code, rootkit...
- Tự động update: tính năng này đã xuất hiện cách đây mấy năm.
Qua phân tích kỹ thuật, Storm Worm sử dụng mạng P2P hình thành một botnet chỉ nhằm cập nhật link download phiên bản worm mới từ một site nào đó. Các worm khác chỉ cập nhật theo mô hình single point, là một website có địa chỉ hard-coded từ trước. Nếu site này bị block, khả năng cập nhật sẽ bị chặn đứng.
Worm này chưa có chức năng điều khiển botnet thông qua P2P, mà chỉ cập nhật mục tiêu DDoS thông qua một file config có địa chỉ hard-coded trong mã lệnh worm. Đây là hạn chế, và có lẽ sẽ được nâng cấp trong phiên bản tới, hoặc một dạng worm mới.
Có lẽ các thế hệ worm sau này không chỉ dùng một mạng P2P mà có thể kết hợp nhiều mạng: Kad, edonkey/overnet, gnutella, bittorrent ... Hoặc có thể lợi dụng các mạng IM ? |
|
|
|
|
[Question] Re: [Thảo luận]: Storm worm botnet |
22/05/2008 13:41:22 (+0700) | #4 | 132028 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
Storm worm đáng sợ không phải vì nó quá phức tạp, mà ở số lượng biến thể khổng lồ của nó.
Đây là một worm điển hình chứ không phải là polymophic virus nhưng số biến thể của nó làm ngán ngẩm tất cả các chuyên gia virus (phát biểu của Trend micro). Thực sự là họ đang bất lực.
Gần đây có xuất hiện một virus đa hình khá nổi tiếng là Vetor (số biến hình là 2^32 - sử dụng 1 DWORD làm flag), nhưng storm đáng sợ hơn bởi chính những kẻ đã tạo ra và duy trì nó.
- Số lượng biến thể khổng lồ: Các chuyên gia cho rằng storm phải được tạo ra bởi một công cụ nào đó. Tính đến nay đã có hơn 10 000 biến thể của storm từng được biết đến.
- Các mạng botnet kiểm soát bởi storm luôn được duy trì ở một kích cỡ ổn định theo mong muốn của hacker. Mỗi khi số lượng zombie giảm, ngay sau đó người ta lại thấy xuất hiện rất nhiều biến thể mơi xuất hiện và sẽ lại có nhiều nạn nhân bị lây nhiễm.
- Các mạng botnet này từng tấn công từ chối dịch vụ vào My Space, Yahoo.
- Việc sử dụng P2P giúp hacker có thể điều khiển botnet của mình một cách an toàn hơn (rất khó truy tìm). Tuy nhiên tính năng này của storm vẫn chưa thực sự hoàn thiện .
Con này mình nghiên cứu lâu rồi nên cũng không còn nhớ chi tiết nữa. |
|
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|