Често Задавани Въпроси

Експертите от Honeynet Project – Tillmann Werner и Felix Leder, както и небезизвестният Дан Камински са открили, че заразените с Conficker Windows системи се държат различно, както от непатчнатите системи, така и от системите с всички ъпдейти. Причината е, че при заразяване на система Conficker се опитва да патчне уязвимостта, използвана за заразяване ( MS08-067 ), но самия патч има проблем. Това дава възможност да се направи мрежови скенер, който отдалечено да разпознае дали системата е заразена или не.  Повечето вендори вече публикуват инструменти, включващи и разпознаването ( включително nmap ), като се предвижда това сканиране да бъде включено в следващите версии на NAC продуктите.

Целия репорт можете да намерите тук : Know Your Enemy – Containing Conficker.

Също така можете да намерите инструменти за премахване на Conficker, разработени от Werner и Leder.

Conficker/Downup/Downadup/Kido е гаден червей, който е успял да изгради най-големия в момента ботнет от около 3 милиона компютъра. Това става възможно благодарение на комплексната структура за управление и честите ъпдейти на червея. Conficker вече е на версия C ( преминавайки през A, B, B++ ) и е отговорен за доста поразии, включително и малко проблеми на френската военна авиация и успеха му се дължи на няколко трика: агресивно заразяване, което използва дупки в сигурността, активно премахване на антивирусни програми и не на последно място – система за управление и обновление, която е изключително трудна за спиране. Всеки ден червеят генерира множество случайни домейна ( 250 на ден при версия B, 50 000 на ден при версия C ), като проверява всеки един от тях за команден център, използвайки peer-2-peer да свали своя нова версия – криптиран файл с 4096 битов цифров подпис. По този начин за хората, контролиращи ботнета е достатъчно да регистрират само един от тези домейни, за да могат да ъпдейтнат изцяло ботнета, като по този начин не се излагат на толкова голям риск от проследяване, както при традиционната Command-and-Control структура с един централен сървър. Страничен ефект от тази техника на обновяване са на практика DDoS атаките към съвсем легитимни сървъри, имащи нещастието да бъдат на адрес от случайно генерираните. От подобен род атаки пострадаха авиокомпанията “Southwest Airlines” ( с wnsux.com), “Women’s Net in Qinghai Province” ( qhflh.com) и на 31-ви Март ще си го отнесе “Praat: doing phonetics by computer” на адрес praat.org.

Друга новост е промяната на стратегията на ботнета при последния ъпдейт – вместо да се опитва да зарази максимален брой компютри, вече основния фокус е към защитаване на заразената база от антивирусни програми. Това се постига чрез убиването на всеки процес, съдържащ някой от следните стрингове:

•    wireshark
•    unlocker
•    tcpview
•    sysclean
•    scct_
•    regmon
•    procmon
•    procexp
•    ms08-06
•    mrtstub
•    mrt.
•    mbsa.
•    klwk
•    kido
•    kb958
•    kb890
•    hotfix
•    gmer
•    filemon
•    downad
•    confick
•    avenger
•    autoruns

Интересното е, че Conficker е първия червей, водещ успешна кампания срещу мерките на индустрията ( включително Microsoft ) за спирането му, озаглавени “Conficker Cabal”. Чрез често обновяване, разработка на нови методи, процедури и техники създателите му успяват засега да се задържат на върха и да използват ботнета за генериране на приходи от прехващане на кредитни карти, пароли, разпращане на спам и т.н. Conficker например използва MD-6, един от последните “хеш” алгоритми, рзработен от Ron Rivest едва към края на миналата година.

Ако темата ви е любопитна, можете да прочетете подробния анализ на Conficker A/B/B++, както и черновата версия за С.

Въобще изграждането на ботнети става плашещо лесно в последни дни, след като дори журналистите от BBC успяха да си изградят собствен ботнет от 22 000 компютъра.

Напоследък се появява интересен метод за разпределени изчисления. След като браузърите се надпреварват кой да предложи по-бърз JavaScript, няколко човека направиха Proof-of-Concept на разпределени алгоритми – Reversing hashes и гугълския mapreduce.  Особено mapreduce е подходящ за целта, тъй като е проектиран с идеята за толерантност към проблеми с изчислителните възли  ( например браузера отива на друга страница ) и е способен да обработи доста сериозни обеми от данни. Автора Иля Григорик предоставя примерен код и сървър за разпределение на задачите, написан на Rubi. Разбира се тази технология все още има дълъг път пред себе си, но отваря абсолютно нови възможноси и добавя различен смисъл към Web 2.0. Представете си, ако нещо подобно се реализира за популярен сайт, заедно с peer-to-peer технология – така достъпността на сайта, както и възможностите му ще нарастват заедно с популярността му. Вече няма да има slashdot/digg ефект, а напротив – колкото повече хора посещават даден сайт и колкото повече време прекарват на него, толкова по-бърз ще бъде сайта.

Rafal Wojtczuk и Joanna Rutkowska ( известна с разработката на BluePill руткита ) публикуваха експлойт ( заедно с код ), атакуващ кеш паметта на Intel процесори, за да придобие достъп до иначе защитената SMRAM памет. Подобен клас атаки дискутирахме при hypervisor-ите и виртуализацията, но тук целта е стандартен, доста разпространен хардуер – дънните платки от рода на Intel DQ35. Всъщност експлойтите са два – с помоща на единия успяват да прочетат цялото съдържание на тази памет, а чрез втория – да изпълнят код в тази памет. Изключилната опастност идва от факта, че може да доведе до изпълнение на код, абсолютно защитено от операционната система – де факто абсолютния руткит, червей или инфекция, невъзможна за отстраняване.  Използвания SMM ( System Management Mode ) е проектиран за патчване на хардуерни проблеми, открити след пускане на устройството в продажба, управление на разхода на енергия и функции, независими от ОС. Тъй като по дизайн тази част от компютъра е невидима за операционната система, то и антивирусните инструменти са безсилни срещу подобна инфекция. Intel твърдят, че знаят за проблема от 2005 г. и е отстранен в повечето от новите им продукти ( например Intel DQ45 е неуязвима ). Този тип атака не може да бъде изпълнена отдалечено или без привилигерован достъп, но чрез нея веднъж компрометирана система може да остане компрометирана.

Подслушване на клавиатура ( изображението е (c) Inverse Path )

На конференцията CanSecWest ( същата, на която се провежда Pwn2Onw състезанието ) фирма Inverse Path показаха няколко нови начина за прехващане на клавиатура от разстояние като допълнение на тези, които вече сме дискутирали.

Първата технология е добре познатото подслушване с помощта на лазерен лъч – чрез насочване на инфрачервен лазер към гърба на лаптопа и анализ на отражението му, изследователите записват вибрациите на лаптопа, причинени от натискането на отделните клавиши. По този начин могат да разпознаят не само какво точно пишете на екрана, но и какво говорите, защото звуковите вълни от гласа ви също карат екрана да вибрира незабележимо.

Единствената защита е да не осигурявате пряка линия за наблюдение, дори и през прозорци.

Втората технология е насочена към вече остарелите PS/2 клавиатури. Успешно са прехванати натискания на клавиши само чрез наблюдение на заземяването на захранването на повече от 20 метра разстояние. Въпреки, че метода не може да се използва за USB клавиатури, податливи на подобни атаки могат да са някои банкомати, в които все още се използват PS/2 клавиатури, като по този начин ефективно се избягва нуждата скимера да наблюдава и клавиатурата.  Защита от такава атака може да осигури или TEMPEST компютър или проста USB клавиатура ( но не и безжична )

В момента изследоватеите от Inverse Path признават, че могат да хванат само отделни клавиши, но не и цели думи и  изречения, но това ще се промени в следващите няколко месеца.

Наскоро се натъкнах на DecaffeinatID. Това е софтуер, което анализира логовете на Windows XP/Vista и се обажда, ако има съмнителна активност ( например се смени MAC адреса на гейтуея на мрежата… опс, извинявам се – шлюза на мрежата ). Може да е полезно приложение, което да ви предупреди, ако някой в мрежата се прави на l33t h@x0r ( често срещано явление из Студ. град. ). Малко, безплатно и бета -> достъпно тук.