Docstoc

BLASTER

Document Sample
BLASTER Powered By Docstoc
					         BLASTER




Tiempo restante para el apagado...
                                 Marçal Argudo
                                 Santi Bartolomé
                                 Victor Jiménez
Blaster: Índex del seminari

• Introducció
• Una mica d’història...
• El problema amb RPC
• Funcionament
• La Gran Pregunta
• Solucions
• Curiositats
• Bibliografia
Blaster: Introducció (I)

• Què és?
Msblast és un cuc destructiu descobert el 12
d’Agost del 2003, que aprofita la vulnerabilitat del
DCOM RPC.

• Quins sistemes afecta?
Microsoft Windows NT
Microsoft Windows Me
Microsoft Windows 2000
Microsoft Windows XP
incloent els servidors NT, 2000 i Server 2003
Blaster: Introducció (II)


A diferència de la gran majoria de cucs, Blaster
no infecta els ordinadors a través del correu
electrònic, sinó que circula per Internet buscant
portes d’entrada (ports) que li permetin entrar a
les màquines dels usuaris perquè el seu creador
pugui fer-se’n amb el control.
Blaster: Una mica d’història...
• El problema amb les RPC de Windows:
El 16 de Juliol de 2003 Microsoft difon un butlletí
on s’informa oficialment d’una vulnerabilitat en el
seu sistema d’RPC.

Un mes més tard...


Es detecten els primers casos d’ordinadors afectats
pel cuc Blaster, el qual aprofita aquesta
vulnerabilitat.
Blaster: El problema amb RPC (I)

Existeix un punt vulnerable en la part de les RPC
de Windows que s’encarrega de l’intercanvi de
missatges sobre TCP/IP.



Concretament aquest error afecta a l’interfície
DCOM (Model d’Objecte de Component
Distribuït) amb RPC, que escolta pel port 135 de
TCP/IP.
Blaster: El problema amb RPC (II)
• Quina és la causa de la vulnerabilitat?
Hi ha vulnerabilitat perquè el servei RPC de
Windows no comprova correctament les
entrades de missatges en determinades
circumstàncies.

El servei Locator de win s’encarrega de mapejar
noms lògics d’un objecte de la xarxa, en noms
específics de la xarxa per poder-los utilitzar en
les RPC.

Quan rep noms que no reconeix no els rebutja,
sinó que els emmagatzema al buffer.
Blaster: El problema amb RPC (III)
• Com es pot aprofitar aquest error?

Un enviament massiu de missatges provocarà un
desbordament del buffer.


Una vegada s’ha desbordat el buffer, el sistema
executarà qualsevol RPC que li arribi.


Al haver-hi el desbordament en el buffer,
s’accepta tota RPC que es rebi, de manera que
l’atacant pot executar el codi que vulgui.
Blaster: Funcionament (I)
• Com es propaga?
1- Aquest cuc rastreja un rang d’adreces IP per
buscar sistemes operatius Windows vulnerables
al tenir l’accés permés al port 135/TCP.
2- Un cop localitzada la futura víctima fa ús de
la recent vulnerabilitat “desbordament de buffer
en RPC DCOM” (un fallo en les crides a
procediment remot que, en definitiva, suposa
que la màquina no pot respondre davant tanta
demanda d’informació).
3- Acte seguit utilitza el port 4444/TCP i obre
una sessió TFTP amb un shell remot. Des d’allà
descarrega i executa l’arxiu MSBLAST.EXE.
   Blaster: Funcionament (II)
   • Com es propaga?

   4- Aquest arxiu es sol descarregar al directori
   C:\Windows\System32 o C:\WINNT\System32
   (depenen del sistema operatiu). Ocupa 6176
   Bytes.
   Un cop executat el cuc crea la clau del registre:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"windows auto update" = "msblast.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update" = "msblast.exe I just want to say LOVE YOU SAN!! bill"


   Això provoca que msblast.exe s’executi cada cop
   que el sistema arranca.
Blaster: Funcionament (III)
• Objectiu del cuc:
L’objetiu final del cuc és produir atacs de
denegació de serveis (DoS) contra el site Web
de Microsoft, windowsupdate.com, a partir del
16 d’agost. Per això, Blaster enviarà un paquet
de 40 bytes a la Web esmentada cada 20
mil·lisegons, a través del port TCP 80.
Blaster: La Gran Pregunta (I)
• Per què es reseteja el sistema?
Blaster utilitza un exploit per aprofitar la
vulnerabilitat dels RPC’s en windows.

Un exploit és un troç de codi que explota una
vulnerabilitat del sistema a atacar.

Blaster té preparats dos tipus d’exploits: un per
sistemes winNT, i una altre per winXP.

El problema sorgeix quan envia un exploit d’un
tipus a un sistema de l’altre tipus. Això pot
provocar que s’aturi svchost.exe i per tant s’hagi
de reiniciar el sistema.
Blaster: La Gran Pregunta (II)
• Per què es reseteja el sistema?
                                Sistemes diferents...
Svchost.exe és un programa que s’encarrega de
                                llibreries diferents!
gestionar les crides a DLL (Dinamic-Link ;-)
Libraries) a windows.
Quan Blaster intenta executar l’exploit de winXP
en un sistema NT (o viceversa), svchost.exe no
reconeix el format de les llibreries, i es produeix
un error irrecuperable sobre RPC. Aixó fa que
svchost.exe es bloquegi i s’hagi de reiniciar el
sistema.
En cap cas és una acció directa de Blaster (el
codi que reinicia la computadora és de
Microsoft).
Blaster: Solucions (“chapucillas”)

• Com es va solucionar l’atac DoS?
Microsoft va decidir tancar el servidor de
windowsupdate, obrint-ne un altre amb una
altra adreça. “Muerto el perro, muerta la rabia”.


• Com es va solucionar la vulnerabilitat de les RPC?
Microsoft va afanyar-se a repartir uns parches
especials per a cada sistema, juntament amb la
informació de com esborrar el cuc del sistema.
Blaster: Curiositats (I)

• Altres noms amb els que es coneix:
WORM_MSBLAST.A (Trend Micro), W32/Blaster
(Panda Software), W32/Lovsan.worm (McAfee),
W32.Blaster.Worm (Symantec), I-worm.Lovsan
(Kaspersky (viruslist.com)), Troj/Msblas
(PerAntivirus), WIN32/LOVSAN.A (Enciclopedia
Virus (Ontinent)), W32/Blaster-A (Sophos),
Win32.Poza (Computer Associates), W32/Blaster
(Hacksoft), WORM_MSBLAST.GEN (Trend Micro),
Lovsan (F-Secure), Win32/MSBlast.A (RAV)
Blaster: Curiositats (II)
• Primera aparició del cuc:
11 d’Agost de 2003

• Autor:
Nom: Jeffrey Lee Parson
Nick: teekid
Edat: 18 anys
Alçada: casi dos metres
Pes: casi 150 kilos
Nacionalitat: Minesota (EEUU)
Blaster: Curiositats (III)


• Virus (més coses):

El virus programat per Jeffrey no és més que
una variació del virus Blaster, anomenada
Blaster.B, on hi va afegir un mètode per poder
tornar a connectar, posteriorment, amb els
ordinadors afectats pel virus.
  Blaster: Bibliografia

http://www.microsoft.com/security/security_bulletins/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880
http://www.clcert.cl/pipermail/alertas/2003-January/000052.html
http://www.wininfo.com.ar/svchost.html
http://www.hispasec.com/unaaldia/1728/
http://www.fbi.gov/fieldnews/august/doj082903.htm
http://poetry.rotten.com/fingerhead/
http://foro.megamultimedia.com/viewtopic.php?t=317
http://www.delitosinformaticos.com/noticias/106252062585632.shtml

				
DOCUMENT INFO
Shared By:
Categories:
Stats:
views:6
posted:8/9/2011
language:Spanish
pages:18