با کرم بلستر بيشتر آشنا شويم !
کرم جديدی که W32.Blaster نا ميده می شود طی روزهای اخير بشدت گسترش و توانسته است تعدادی بسيار زيا دی از کامپيوترها را آ لوده نمايد . کرم فوق، دارای اسامی ديگری نظير : W32/Lovsan.worm ، WORM_MSBLAT.A و Win32.Posa.Worms می باشد.
تاريخ کشف : يازدهم اگوست 2003 . کامپيوترهائی که قبلا" از Patch امنيتی MS03-026 استفاده نموده اند در مقابل ويروس فوق، مصونيت خواهند داشت .
نحوه توزيع : توزيع کرم فوق، از طريق پورت های باز RPC انجام می شود . سيستم ها پس از آلودگی به ويروس فوق، راه اندازی مجدد شده و يا فايل msblase.exe بر روی آنان وجود خواهد داشت .
جرئيات فنی : RPC)Remote Procedure Call) ، پروتکلی است که توسط سيستم عامل ويندوز استفاده می گردد . RPC ، يک مکانيزم ارتباطی را ارائه و اين امکان را فراهم می نمايد که برنامه در حال اجراء بر روی يک کامپيوتر قادر به اجراء کد موجود بر روی يک سيستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مايکروسافت امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق يک نقطه آسيب پذير وجود داشته که در ارتباط با پيام های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پيام های ناقص است . اين ضعف امنيتی باعث تاثيرگذاری يک اينترفيس DCOM)Distributed Component Object Model) با RPC می گردد( گوش دادن به پورت های فعا ل RPC ). ايترفيس فوق ، باعث بررسی درخواست های فعال شی DCOM ارسال شده توسط ماشين سرويس گيرنده برای سرويس دهنده می گردد . يک مهاجم که امکان استفاده موفقيت آميز از ضعف موجود را کسب نمايد، قادر به اجراء کد با مجوزهای محلی سيستم بر روی يک سيستم آسيب پذير ، خواهد بود. در چنين حالتی مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم خواهد بود . نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در اين رابطه می باشد .بمنظور استفاده از ضعف موجود، يک مهاجم درخواستی خاص بر روی کامپيوتر از راه دور و از طريق پورت های مشخص شده RPC را ارسال می نمايد .
عملکرد ويروس :کرم بلستر ، بصورت تصادفی يک دامنه از آدرس های IP را پويش ( بررسی ) تا سيستم مورد نظر خود را برای آسيب رسانی از طريق پورت 135 ، انتخاب نمايد . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده می نمايد . ( اشاره شده در patch شماره MS03-026 ) . زمانيکه کد مربوطه برای سيستمی ارسال گرديد در ادامه اقدام به download و اجرای فايل MSBLATE.EXE از يک سيستم راه دور و از طريق HTTP می نمايد . پس از اجراء ، کليد ريجستری زير ايجاد خواهد شد :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
علائم آلودگی سيستم : برخی از کاربران ممکن است هيچگونه علائمی مبنی بر آلودگی سيستم خود را مشاهده ننمايند . در رابطه با کاربرانی که از سيستم ويندوز XP و يا Server 2003 استفاده می نمايند ، سيستم پس از لحظاتی و بدون اينکه کاربر عمليات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ويندوز NT 4.0 و يا ويندوز 2000 ، استفاده می نمايند ، سيستم رفتاری غيرپاسخگو را خواهد داشت ( عدم واکنش صحيح در رابطه با برخی از رويداد ها و ارائه خدمات طبيعی ) . کاربران در اين رابطه ممکن است موارد زير را نيز مشاهده نمايند :
• وجود فايل های غيرمتعارف TFTP
• وجود فايل msblast.exe در دايرکتوری Windows System32
سيستم های آسيب پذير : کاربرانی که دارای يکی از سيستم های زير می باشند ، در معرض آلودگی خواهند بود :
• ويندوز NT 4.0
• ويندوز 2000
• ويندوز XP
• ويندوز 2003
سيستم های مصون : در صورتيکه وجود شرايط زير ، کامپيوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :
• در صورتيکه از ويندوز 95 ، 98 ، SE و يا ME استفاده می گردد .
• در صورتيکه patch امنيتی اشاره شده در MS03-026 بر روی سيستم نصب شده باشد .
Patch های موجود : برای دريافت patch مربوطه می توان از آدرس های زير استفاده کرد :
• Windows NT 4.0
• Windows NT 4.0 Terminal Server Edition
• Windows 2000
• Windows XP 32 bit Edition
• Windows XP 64 bit Edition
• Windows Server 2003 32 bit Edition
• Windows Server 2003 64 bit Edition
DCOM چيست ؟ پروتکلی است که امکا ن ارتباط مستقيم بين عناصر نرم افزاری موجود در يک شبکه با يکديگر را فراهم می نمايد.پروتکل فوق، قبلا" OLE Network ناميده می شد.
RPC چيست ؟ پروتکلی است که يک برنامه می تواند با استفاده از آن درخواست سرويسی را از برنامه موجود بر روی کامپيوتر ديگر در شبکه داشته باشد . RPC ، تسهيلات و امکانات لازم در خصوص ارتباط بين برنامه ها را فراهم می نمايد . برنامه هائی که از RPC استفاده می نمايند ضرورتی به آگاهی از پروتکل های شبکه که ارتباطات را حمايت می نمايند ، نخواهند داشت . در RPC ، برنامه درخواست کننده سرويس گيرنده بوده و برنامه ارائه دهنده سرويس ، سرويس دهنده می باشد .
سرويس های اينترنت COM و RPC بر روی HTTP چه چيزی می باشند ؟ سرويس های اينترنت COM معرفی شده، پروتکل حمل DCOM را در ارتباط با TCP ارائه و اين امکان را فراهم می نمايد که DCOM ، عمليات خود را از طريق پورت 80 پروتکل TCP انجام دهد . سرويس های اينترنت COM و RPC بر روی HTTP ، اين امکان را برای يک سرويس گيرنده و سرويس دهنده فراهم می نمايند که قادر به برقراری ارتباط با يکديگر در صورت حضور و يا فعال بودن اکثر سرويس دهندگان پروکسی و يا فايروال باشند .
با استفاده از چه روشی می توان از نصب سرويس های اينترنت COM بر روی سيستم ، اطمينان حاصل کرد؟ بهترين روش در اين رابطه جستجو برای يافتن فايل rpcproxy.dll است . در صورتيکه فايل فوق پيدا گردد ، نشاندهنده نصب سرويس های اينترنت COM بر روی ماشين است .
اشتباه مايکروسافت در رابطه با پياده سازی RPC چيست ؟ در بخشی از RPC شکافی وجود داشته که در ارتباط با پيام های مبادله شده از طريق TCP/IP است . علت بروز مشکل ،عدم برخورد مناسب با پيام های ناقص است . مشکل فوق، باعث تاثيرات خاصی در ارتباط با اينترفيس DCOM شده و زمينه گوش دادن به پورت 135 مربوط به TCP/IP ، فراهم می گردد . امکان دستيابی از طريق پورت های 139 ، 445 و 593 نيز وجود خواهد داشت . با ارسال يک پيام ناقص RPC ، يک مهاجم می تواند باعث بروز اشکال در سرويس دهی توسط سرويس RPC بر روی يک ماشين گردد .
يک مهاجم با استفاده از ضعف موجود قادر به انجام چه عملياتی خواهد بود ؟ مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کدهائی را با مجوزهای سيستم محلی بر روی يک سيستم اجراء نمايد . مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم نظير : نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد با مجوزها و اختيارات کامل، خواهد بود.
يک مهاجم به چه صورت از ضعف فوق ، استفاده می نمايد ؟ يک مهاجم ، بمنظور جستجو و استفاده از اين نقص امنيتی می تواند با برنامه ريزی يک ماشين که قادر به ارتباط با يک سرويس دهنده آسيب پذير از طريق RPC باشد ، ارتباطی را برقرار و در ادامه يک نوع پيام خاص RPC ناقص را ارسال نمايد . دريافت چنين پيامی باعث بروز اشکال در ماشين آسيب پذير شده و بدين ترتيب ماشين فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم خواهد بود .
چه کسانی در معرض اين آسيب هستند ؟ هر کاربری که قادر به عرضه يک درخواست TCP بر روی يک اينترفيس RPC بر روی يک کامپيوترآسيب پذير باشد ، می تواند در معرض آسيب فوق باشد . با توجه به اينکه درخواست های RPC بصورت پيش فرض بر روی تمامی نسخه های ويندوز فعال ( on) می باشند ، هر کاربری که قادر به برقراری ارتباط با يک کامپيوترآسيب پذير باشد ، می تواند در معرض اين آسيب قرار گيرد .
تاريخ کشف : يازدهم اگوست 2003 . کامپيوترهائی که قبلا" از Patch امنيتی MS03-026 استفاده نموده اند در مقابل ويروس فوق، مصونيت خواهند داشت .
نحوه توزيع : توزيع کرم فوق، از طريق پورت های باز RPC انجام می شود . سيستم ها پس از آلودگی به ويروس فوق، راه اندازی مجدد شده و يا فايل msblase.exe بر روی آنان وجود خواهد داشت .
جرئيات فنی : RPC)Remote Procedure Call) ، پروتکلی است که توسط سيستم عامل ويندوز استفاده می گردد . RPC ، يک مکانيزم ارتباطی را ارائه و اين امکان را فراهم می نمايد که برنامه در حال اجراء بر روی يک کامپيوتر قادر به اجراء کد موجود بر روی يک سيستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مايکروسافت امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق يک نقطه آسيب پذير وجود داشته که در ارتباط با پيام های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پيام های ناقص است . اين ضعف امنيتی باعث تاثيرگذاری يک اينترفيس DCOM)Distributed Component Object Model) با RPC می گردد( گوش دادن به پورت های فعا ل RPC ). ايترفيس فوق ، باعث بررسی درخواست های فعال شی DCOM ارسال شده توسط ماشين سرويس گيرنده برای سرويس دهنده می گردد . يک مهاجم که امکان استفاده موفقيت آميز از ضعف موجود را کسب نمايد، قادر به اجراء کد با مجوزهای محلی سيستم بر روی يک سيستم آسيب پذير ، خواهد بود. در چنين حالتی مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم خواهد بود . نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در اين رابطه می باشد .بمنظور استفاده از ضعف موجود، يک مهاجم درخواستی خاص بر روی کامپيوتر از راه دور و از طريق پورت های مشخص شده RPC را ارسال می نمايد .
عملکرد ويروس :کرم بلستر ، بصورت تصادفی يک دامنه از آدرس های IP را پويش ( بررسی ) تا سيستم مورد نظر خود را برای آسيب رسانی از طريق پورت 135 ، انتخاب نمايد . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده می نمايد . ( اشاره شده در patch شماره MS03-026 ) . زمانيکه کد مربوطه برای سيستمی ارسال گرديد در ادامه اقدام به download و اجرای فايل MSBLATE.EXE از يک سيستم راه دور و از طريق HTTP می نمايد . پس از اجراء ، کليد ريجستری زير ايجاد خواهد شد :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
علائم آلودگی سيستم : برخی از کاربران ممکن است هيچگونه علائمی مبنی بر آلودگی سيستم خود را مشاهده ننمايند . در رابطه با کاربرانی که از سيستم ويندوز XP و يا Server 2003 استفاده می نمايند ، سيستم پس از لحظاتی و بدون اينکه کاربر عمليات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ويندوز NT 4.0 و يا ويندوز 2000 ، استفاده می نمايند ، سيستم رفتاری غيرپاسخگو را خواهد داشت ( عدم واکنش صحيح در رابطه با برخی از رويداد ها و ارائه خدمات طبيعی ) . کاربران در اين رابطه ممکن است موارد زير را نيز مشاهده نمايند :
• وجود فايل های غيرمتعارف TFTP
• وجود فايل msblast.exe در دايرکتوری Windows System32
سيستم های آسيب پذير : کاربرانی که دارای يکی از سيستم های زير می باشند ، در معرض آلودگی خواهند بود :
• ويندوز NT 4.0
• ويندوز 2000
• ويندوز XP
• ويندوز 2003
سيستم های مصون : در صورتيکه وجود شرايط زير ، کامپيوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :
• در صورتيکه از ويندوز 95 ، 98 ، SE و يا ME استفاده می گردد .
• در صورتيکه patch امنيتی اشاره شده در MS03-026 بر روی سيستم نصب شده باشد .
Patch های موجود : برای دريافت patch مربوطه می توان از آدرس های زير استفاده کرد :
• Windows NT 4.0
• Windows NT 4.0 Terminal Server Edition
• Windows 2000
• Windows XP 32 bit Edition
• Windows XP 64 bit Edition
• Windows Server 2003 32 bit Edition
• Windows Server 2003 64 bit Edition
سوالات متداول در رابطه با کرم بلستر :
DCOM چيست ؟ پروتکلی است که امکا ن ارتباط مستقيم بين عناصر نرم افزاری موجود در يک شبکه با يکديگر را فراهم می نمايد.پروتکل فوق، قبلا" OLE Network ناميده می شد.
RPC چيست ؟ پروتکلی است که يک برنامه می تواند با استفاده از آن درخواست سرويسی را از برنامه موجود بر روی کامپيوتر ديگر در شبکه داشته باشد . RPC ، تسهيلات و امکانات لازم در خصوص ارتباط بين برنامه ها را فراهم می نمايد . برنامه هائی که از RPC استفاده می نمايند ضرورتی به آگاهی از پروتکل های شبکه که ارتباطات را حمايت می نمايند ، نخواهند داشت . در RPC ، برنامه درخواست کننده سرويس گيرنده بوده و برنامه ارائه دهنده سرويس ، سرويس دهنده می باشد .
سرويس های اينترنت COM و RPC بر روی HTTP چه چيزی می باشند ؟ سرويس های اينترنت COM معرفی شده، پروتکل حمل DCOM را در ارتباط با TCP ارائه و اين امکان را فراهم می نمايد که DCOM ، عمليات خود را از طريق پورت 80 پروتکل TCP انجام دهد . سرويس های اينترنت COM و RPC بر روی HTTP ، اين امکان را برای يک سرويس گيرنده و سرويس دهنده فراهم می نمايند که قادر به برقراری ارتباط با يکديگر در صورت حضور و يا فعال بودن اکثر سرويس دهندگان پروکسی و يا فايروال باشند .
با استفاده از چه روشی می توان از نصب سرويس های اينترنت COM بر روی سيستم ، اطمينان حاصل کرد؟ بهترين روش در اين رابطه جستجو برای يافتن فايل rpcproxy.dll است . در صورتيکه فايل فوق پيدا گردد ، نشاندهنده نصب سرويس های اينترنت COM بر روی ماشين است .
اشتباه مايکروسافت در رابطه با پياده سازی RPC چيست ؟ در بخشی از RPC شکافی وجود داشته که در ارتباط با پيام های مبادله شده از طريق TCP/IP است . علت بروز مشکل ،عدم برخورد مناسب با پيام های ناقص است . مشکل فوق، باعث تاثيرات خاصی در ارتباط با اينترفيس DCOM شده و زمينه گوش دادن به پورت 135 مربوط به TCP/IP ، فراهم می گردد . امکان دستيابی از طريق پورت های 139 ، 445 و 593 نيز وجود خواهد داشت . با ارسال يک پيام ناقص RPC ، يک مهاجم می تواند باعث بروز اشکال در سرويس دهی توسط سرويس RPC بر روی يک ماشين گردد .
يک مهاجم با استفاده از ضعف موجود قادر به انجام چه عملياتی خواهد بود ؟ مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کدهائی را با مجوزهای سيستم محلی بر روی يک سيستم اجراء نمايد . مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم نظير : نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد با مجوزها و اختيارات کامل، خواهد بود.
يک مهاجم به چه صورت از ضعف فوق ، استفاده می نمايد ؟ يک مهاجم ، بمنظور جستجو و استفاده از اين نقص امنيتی می تواند با برنامه ريزی يک ماشين که قادر به ارتباط با يک سرويس دهنده آسيب پذير از طريق RPC باشد ، ارتباطی را برقرار و در ادامه يک نوع پيام خاص RPC ناقص را ارسال نمايد . دريافت چنين پيامی باعث بروز اشکال در ماشين آسيب پذير شده و بدين ترتيب ماشين فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم خواهد بود .
چه کسانی در معرض اين آسيب هستند ؟ هر کاربری که قادر به عرضه يک درخواست TCP بر روی يک اينترفيس RPC بر روی يک کامپيوترآسيب پذير باشد ، می تواند در معرض آسيب فوق باشد . با توجه به اينکه درخواست های RPC بصورت پيش فرض بر روی تمامی نسخه های ويندوز فعال ( on) می باشند ، هر کاربری که قادر به برقراری ارتباط با يک کامپيوترآسيب پذير باشد ، می تواند در معرض اين آسيب قرار گيرد .
