הגנה במערכות מתוכנתות

Storm Worm - 9תרגול

Storm

2007החלה לפעול בינוארבעצם סוס טרויאני ולא תולעתהיקפה לא ידוע במדויק

250,000 – 50,000,000 2007 מחשבים בספטמבר8%-מה malwareיוחס לה בשיאה

עפ"י הסברה המקובלת, הגוף שעומד מאחוריה הואRBN

-עושה שימוש בbotnet

9הגנה במערכות מתוכנתות - תרגול 2(c אורי אברהם )2009

botnet

רשת מחשבים "זומביים" המחכים לפקודותמהמפעיל

כח מחשוב רב כלי אידיאלי לביצוע התקפותDDoS או משלוח

spam

9הגנה במערכות מתוכנתות - תרגול 3(c אורי אברהם )2009

שלבי פעולת הקוד הזדוני

הדבקה ראשונית1.

וקבלת פקודותP2Pהתחברות לרשת 2.

ביצוע התקפות3.

התחמקות מגילוי4.

9הגנה במערכות מתוכנתות - תרגול 4(c אורי אברהם )2009

הדבקה ראשונית

הקרבן מקבל דוא"ל הנושא כותרת מעניינתומכיל קישור לאתר

9הגנה במערכות מתוכנתות - תרגול 5(c אורי אברהם )2009

הדבקה ראשונית – הנדסה חברתית

האתר אליו מופנה הקורבן מכיל את התולעת ומדביקאת הקורבן

מתמרן את הקרבן להוריד ולהתקין את התולעתמנצל חורי אבטחה בדפדפן ובמערכת ההפעלה

9הגנה במערכות מתוכנתות - תרגול 6(c אורי אברהם )2009

הדבקה ראשונית )המשך...(

הקרבן שמתפתה להכנס לאתר, להורידולהתקין תכנה מודבק בקוד הזדוני

בנוסף הוא מקבל גם קובץ המכיל רשימתP2P( לרשת peers"חברים" )

שאלה: מדוע לא ניתן להתחקות אחר הלינקבדוא"ל המדביק ולהשבית את האתר הזדוני?

9הגנה במערכות מתוכנתות - תרגול 7(c אורי אברהם )2009

תשובה: רשתות fast-flux

עפ"י שםIPתזכורת – מציאת

תזכורת: מחשבים ברשת מזוהים על פי כתובת סיביות32 שלהם, מספר בן IPה-

שרתיDNS מתרגמים שמות לכתובות IP

9הגנה במערכות מתוכנתות - תרגול 8(c אורי אברהם )2009

Local DNS

Where’s www.wikipedia.org ?

root nameserver198.41.0.4

org nameserver207.74.112.1

Wikipedia.org nameserver207.142.131.234

1

2 3

4

56

7

8

9

Try 207.74.112.1

Try 207.142.131.234

It’s at xxx.xx.xx.xxx

Wikipedia webserverxxx.xx.xx.xxx

fast-fluxרשתות

ברשתותfast-flux כאשר המשתמש גולש לאתר , IPלפי שם האתר, הוא יגיע בכל פעם לכתובת

שונה"קוד התולעת נמצא על שרת, "ספינת האם כאשר הקרבן מקליק על הקישור הוא מופנה

שמקשר בינו לבין "ספינת האם"proxyלמחשב בידי התוקפים מספר רב של מחשביproxy

שביניהם מתבצע סבב

9הגנה במערכות מתוכנתות - תרגול 9(c אורי אברהם )2009

)המשך...(fast-fluxרשתות

-מפעילי הbotnet מחזיקים domainמשלהם -שרת הDNS שלהם דואג להחזיר בכל פעם כתובת IP של

אחרproxyמחשב

9הגנה במערכות מתוכנתות - תרגול 10(c אורי אברהם )2009

)הדבקה P2Pהתחברות לרשת משנית(

קובץ ההרצה הראשוני מנסה להתחבר לחברים(peers ברשת )P2P

)windir/system32/wincom32.ini(-המחשב הנגוע מקבל דרך רשת הP2P כתובות URL

מהן הוא מוריד עדכונים וכלים לביצוע התקפות

9הגנה במערכות מתוכנתות - תרגול 11(c אורי אברהם )2009

P2P בשירות Storm

בד"כ שליטה ברשתותbotnet נעשית ע"י , ...(http, IRCפרוטוקול שרת-לקוח )

צריך להחזיק מידע על botnetכל מחשב ב-1.השרת, דבר המקל על זיהוי השרת

אם מנתקים את השרת או פוגעים בו, השליט 2..botnetמאבד שליטה על ה-

מסיבות אלו בחרו יוצריStorm להשתמש P2Pברשת

9הגנה במערכות מתוכנתות - תרגול 12(c אורי אברהם )2009

P2P בשירות Storm

:תהליך קבלת הפקודה של מחשב נגוע נראה כך מחרוזות 32המחשב הנגוע מגריל מחרוזות מבין 1.

חיפוש אפשריות לאותו יום ומבקש למצוא אותן ברשת (subscribe)

( עבור אותן publish מפיצים הודעות )botnetשליטי ה-2. מחרוזות אפשריות. כל הודעה כוללת: מפתח חיפוש 32

מוצפנתURL)מחרוזת( וכתובת

ומוריד URLהמחשב הנגוע מפענח את כתובת ה-3.(game0.exe – game5.exeממנה קבצי פקודה )

9הגנה במערכות מתוכנתות - תרגול 13(c אורי אברהם )2009

P2P בשירות Storm

9הגנה במערכות מתוכנתות - תרגול 14(c אורי אברהם )2009

search for: “e4x$po”

publish: )“e4x$po”,192.68.14.15(

“(e4x$po”,192.68.14.15)

192.68.14.15

קבלת פקודות

ה"פקודות" בגרסתPeacom.c:game0.exe – backdoorמוריד קבצים / game1.exe – SMTP Relaygame2.exeכלי לגניבת כתובות דוא"ל – game3.exeכלי להפצת התולעת בדוא"ל – game4.exe כלי לביצוע התקפות – DDoSgame5.exe-גרסה מעודכנת של ה – Storm Worm

Dropper

9הגנה במערכות מתוכנתות - תרגול 15(c אורי אברהם )2009

ביצוע התקפות

-בידי מפעילי הStorm botnet כח מחשוב רב בו הם יכולים לעשות שימוש כרצונם

ההתקפות הנפוצות ביותר הןDDoS )Distributed Denial of Service( ומשלוח

spam

9הגנה במערכות מתוכנתות - תרגול 16(c אורי אברהם )2009

DDoSביצוע התקפת בהתקפתDDoS פונים הרבה מחשבים בו-זמנית לשרת

המותקף ע"מ להציף אותו בהודעות ולגרום לקריסתו-בStorm, game4.exe משמש לביצוע התקפת DDoS יעד וסוג ההתקפה מתקבלים בקובץ קונפיגורציה שנמצא

game4.exeבאתר שכתובתו מקודדת בגוף :הקורבנות – שונים ומגוונים

( ספקי שירותים תמימיםcapitalcollect.com) חברותanti-malwareקבוצות ספאם מתחרות...

9הגנה במערכות מתוכנתות - תרגול 17(c אורי אברהם )2009

הסתתרות מגילוי – התחמקות מאנטי-וירוסים

לאורך הזמן, מנהלים כותבי האנטי-וירוסיםוכותבי הוירוסים משחקי חתול-עכבר:

"אנטי-וירוסים מזהים וירוסים עפ"י "חתימה אישיתוירוסים מצפינים את עצמם אנטי-וירוסים מזהים את ה"חתימה האישית" של

(packersהחבילות הקריפטוגרפיות )Storm-מצפין גם את ה – packer שבו הוא

משתמש

9הגנה במערכות מתוכנתות - תרגול 18(c אורי אברהם )2009

התחמקות מאנטי-וירוסים )המשך...(

"כלי נוסף של אנטי-וירוסים: "ארגז חול(sandbox)

סביבה מוגנת שבה האנטי-וירוס יכול להריץ אתהקובץ החשוד בלי לאפשר לו לפגוע במערכת

התהליך רץ באזור מבודד בזיכרוןהגישה למשאבים מוגבלת ביותר

ארגז החול" מאפשר ללמוד על הקוד הזדוני"מתוך אופן פעולתו

9הגנה במערכות מתוכנתות - תרגול 19(c אורי אברהם )2009

התחמקות מאנטי-וירוסים – Storm vs. Sandbox

Storm משתמש בערך )קבוע( המוחזר מקריאת packerמערכת ע"מ לחשב את מפתח הפענוח של ה-

קריאות המערכת בהןStorm עושה שימוש הן קריאות (Legacyמערכת ישנות שאינן בשימוש בפועל )

רוב תוכנות האנטי-וירוס אינן מסמלצות את קריאותהמערכת הללו ולכן נגרמת חריגה כאשר הן מנסות

ב"ארגז החול"Stormלהריץ את

9הגנה במערכות מתוכנתות - תרגול 20(c אורי אברהם )2009

התחמקות מאנטי-וירוסים – Storm vs. Sandbox

(Antirootkit.comמתוך (

9הגנה במערכות מתוכנתות - תרגול 21(c אורי אברהם )2009

הסתתרות מגילוי

-עוד שיטות שStorm:משתמש בהן הורג תהליכים שמפריעים לו )אפילוmalware

אחרים( משתק תהליכים – נראים כאילו הם רצים כרגיל

כאשר בעצם אינם עושים דבר תוקף חברותanti-malwareוחוקרים -מצפין את התקשורת ברשת הP2P

9הגנה במערכות מתוכנתות - תרגול 22(c אורי אברהם )2009

*

סיכום

Storm-הציג לעולם ה malware טכניקות חדשות ומשוכללות

המוטיבציה מאחוריStorm!כסף – משלוחspamהתקפות על מתחרים עסקייםחלוקת הרשת לסגמנטים והשכרתם תמורת כסף

בעקבות עדכונים בכלי להסרת תכניות זדוניות שלמיקרוסופט הצטמצם היקפה בצורה ניכרת

47,000 2008 מחשבים עפ"י דיווחים באוקטובר

9הגנה במערכות מתוכנתות - תרגול 23(c אורי אברהם )2009

(2סיכום )

השתתקות פתאומית2008בספטמבר – הפסיקה לנסות להדביק משתמשים חדשים-התקשורת ברשת הP2Pהשתתקה ?חוקרים חדרו לרשת והשתלטו עליה יוצרי הקוד הזדוני החליטו להקפיא אותו ולהכניס

שינויים העקבות המידע שנצבר אצל קהילת אבטחת המידע?

9הגנה במערכות מתוכנתות - תרגול 24(c אורי אברהם )2009